ציטוט מ מערכת האתר ב 11/05/2025, 13:18

השדרוג החדש של רשת את'ריום, Pectra, אמנם הביא לשיפור בגמישות ובתפקוד החשבונות, אך פתח גם אפשרות מסוכנת להאקרים לרוקן ארנקי משתמשים באמצעות חתימה מחוץ לרשת. השדרוג, שנכנס לתוקף ב-7 במאי, מאפשר לתוקפים לשלוט על ארנקים בבעלות חיצונית (EOA) בלי שהמשתמש יצטרך לחתום על עסקה מקוונת.

ארדה עוסמאן, מומחה בחוזים חכמים, אישר כי ניתן לרוקן ארנק על ידי הודעה חתומה מחוץ לרשת, ללא צורך בעסקה ישירה. הבסיס לסיכון זה הוא רכיב הליבה של השדרוג, EIP-7702, המציג עסקת SetCode המאפשרת למשתמשים להאציל שליטה דרך חתימה בלבד.

אם תוקף משיג חתימה זו, לדוגמה באמצעות אתר פישינג, הוא יכול להתקין קוד שמבצע פעולות בשמו. עוסמאן הסביר שהתוקף יכול להעביר את האת'ר והטוקנים ללא שהמשתמש חותם על עסקה.

החוקר יהור רודיציה הוסיף שהעסקה החדשה מאפשרת הצבת קוד חשוד בארנק, ההופך אותו לחוזה חכם מתוכנת. לפני השדרוג, לא ניתן היה לשנות ארנקים ללא חתימת המשתמש.

סכנת ההתקפה הינה ממשית, במיוחד לארנקים שאינם מזהים סוגי עסקאות אלו. רודיציה התריע שארנקים לא מוגנים עלולים ליפול קורבן בקלות דרך אינטראקציות נפוצות מחוץ לרשת, כמו מיילים מזויפים או מתקפות הונאה.

חשוב להדגיש שגם ארנקי חומרה אינם חסינים. כעת, הם נמצאים בסיכון דומה כמו ארנקים מבוססי תוכנה בכל הנוגע לחתימות זדוניות. רודיציה ממליץ למשתמשים לחתום רק על הודעות שהם מבינים היטב.