Bản nâng cấp tiềm năng hay mảnh đất cho tin tặc?
Bản nâng cấp Pectra của Ethereum giới thiệu EIP-7702, cho phép ví tiền điện tử tạm thời hoạt động như hợp đồng thông minh nhằm nâng cao trải nghiệm người dùng.
Tính năng này, do Vitalik Buterin đề xuất, hỗ trợ trừu tượng hóa tài khoản, cho phép người dùng gộp giao dịch, tài trợ phí gas và kiểm soát chi tiêu chặt chẽ hơn.
Mặc dù cải thiện tính tiện lợi và bảo mật cho ví, EIP-7702 cũng trở thành mục tiêu dễ bị tấn công.
Nguồn: X
Phân tích của Wintermute cho thấy hơn 80% các ủy quyền EIP-7702 được sử dụng bởi một hợp đồng độc hại duy nhất, gọi là “CrimeEnjoyor”. Mã hợp đồng này ngắn gọn, sao chép nhưng rất hiệu quả.
Khi hợp đồng này truy cập được vào ví bị xâm phạm – thường qua phishing – nó lập tức rút hết tiền về địa chỉ của kẻ tấn công.
Đây là kiểu tấn công tự động quy mô lớn và gây thiệt hại nghiêm trọng.
Nguồn: X
Công ty bảo mật blockchain Scam Sniffer nhận định một vụ việc nạn nhân bị mất gần 150.000 USD trong một giao dịch gộp duy nhất liên quan đến dịch vụ Inferno Drainer nổi tiếng.
Với hàng nghìn giao dịch tương tự được ghi nhận, các tính năng nhằm đơn giản hóa Ethereum cũng có thể đồng thời đẩy nhanh các lỗ hổng bảo mật.
Có thể vấn đề không phải từ mã nguồn
Vấn đề cốt lõi của đợt tấn công rút tiền gần đây không phải do EIP-7702 gây ra mà là tình trạng private key bị lộ hoặc đánh cắp.
Tính năng mới chỉ giúp hacker khai thác ví bị xâm phạm nhanh hơn và tiết kiệm chi phí hơn. Các công ty bảo mật như SlowMist khuyến nghị nhà phát triển ví phải tăng cường theo dõi tương tác hợp đồng và nâng cao bảo vệ người dùng.
Nguồn: X
Khi Ethereum tiếp tục phát triển, ưu tiên cần tập trung vào thiết kế ví thông minh hơn, cảnh báo rõ ràng khi ký giao dịch và nâng cao ý thức bảo mật cho người dùng.
Bởi dù tính năng có sáng giá đến đâu, chúng cũng sẽ phản tác dụng khi bảo mật cơ bản bị lơ là.
BÀI VIẾT CÙNG DANH MỤC
