هشدار کارشناسان امنیتی؛ بروزرسانی پکترا اتریوم می‌تواند به سرقت کیف پول‌تان منجر شود!

بروزرسانی پکترا (Pectra) چهار روز پیش در شبکه اتریوم راه‌اندازی شد و خوش‌بینی‌های ناشی از آن قیمت اتر را به طور قابل توجهی افزایش داده است. در حالی که این بروزرسانی با هدف بهبود مقیاس‌پذیری و عملکرد حساب‌های هوشمند ارائه شده، کارشناسان می‌گویند مسیر جدید و خطرناکی را برای مجرمان سایبری ایجاد کرده است.

به گزارش میهن بلاکچین، کارشناسان امنیت سایبری می‌گویند بروزرسانی پکترا به هکرها این امکان را می‌دهد تا تنها با استفاده از یک امضای آف‌چین، کیف پول کاربران را به سرقت ببرند!

آسیب‌پذیری جدید با فعال شدن پکترا

بروزرسانی پکترا در تاریخ ۷ مه در شبکه اتریوم فعال شد. در این بروزرسانی، نوع جدیدی از تراکنش‌ها معرفی شده که مهاجمان با استفاده از آنها می‌توانند بدون نیاز به امضای آنچین تراکنش‌ها توسط کاربر، حساب‌های شخصی کاربران را به دست بگیرند.

به گفته آردا عثمان (Arda Usman)، متخصص بررسی امنیتی قراردادهای هوشمند سالیدیتی، در حال حاضر این امکان وجود دارد که هکرها تنها با داشتن یک پیام امضاشده آف‌چین، موجودی حساب کاربران را خالی کنند، بدون اینکه هیچ تراکنش آنچین مستقیمی از سوی کاربر امضا شده باشد.

اما ریشه این آسیب‌پذیری کجاست؟ در قلب این خطر، پروپوزال بهبود اتریوم با شناسه EIP-7702 قرار دارد. این بروزرسانی یک نوع تراکنش جدید با شناسه 0x04 و نام SetCode معرفی کرده که به کاربران اجازه می‌دهد تنها با امضای یک پیام، کنترل کامل کیف پول خود را به یک قرارداد هوشمند دیگر واگذار کنند.

در صورتی که مهاجم بتواند از طریق یک سایت فیشینگ یا روش دیگری به این امضا دسترسی پیدا کند، می‌تواند کد کیف پول را با یک پراکسی مخرب جایگزین کند. این پراکسی نیز تمام دستورات را به قراردادی که مهاجم طراحی کرده منتقل می‌کند.

عثمان در این باره می‌گوید:

حالا امکان این وجود داره که تنها با یک پیام امضا شده آف‌چین، تمام دارایی‌های کیف پول فرد به سرقت بره بدون اینکه نیازی به امضای هیچ تراکنش آنچینی از سوی کاربر وجود داشته باشه.

به گفته‌ یهور رودیتسیا (Yehor Rudytsia)، پژوهشگر آنچین در شرکت امنیتی هکن (Hacken)، این نوع جدید از تراکنش‌ها به هر کسی که امضای کاربر را داشته باشد این امکان را می‌دهد که کدی دلخواه روی کیف پول او نصب کرده و آن را به یک قرارداد هوشمند قابل برنامه‌ریزی تبدیل کند.

وی در این باره می‌گوید:

قبل از پکترا هیچ کیف پولی قابل تغییر نبود مگر اینکه خود کاربر یک تراکنش آنچینی رو امضا می‌کرد. اما حالا تنها با یه امضای آف‌چین، مهاجم میتونه کدی رو در کیف پول کاربر نصب کنه و کنترل اونو به دستش بگیره.

این یعنی بعد از امضای این پیام، دیگر نیازی به تایید مجدد آن نخواهد بود و هکر آزادانه می‌تواند دارایی‌های دیجیتال فرد را به سرقت ببرد. به گفته عثمان این تهدید از همان لحظه فعال‌سازی پکترا جدی و واقعی است. وی در این باره می‌گوید:

از ۷ می ۲۰۲۵ به بعد، هر امضای واگذاری معتبری که کاربر انجام بده میتونه به سرعت سواستفاده بشه.

این تحلیلگر همچنین هشدار داده که قراردادهای هوشمندی که هنوز بر پایه فرضیات قدیمی مثل استفاده از tx.origin یا چک‌ کردن اینکه آیا حساب از نوع EOA است استوارند اکنون به شدت آسیب‌پذیر هستند.

رودیتسیا نیز می‌گوید کیف پول‌ها و رابط‌هایی که نتوانند این نوع جدید از تراکنش‌ها را شناسایی یا به درستی نمایش دهند، در معرض بیشترین خطر قرار دارند:

اگر کیف پول‌ها نوع تراکنش 0x04 اتریوم رو شناسایی نکنند به شدت آسیب‌پذیر هستن.

او همچنین تأکید کرده که موتورها و هسته‌های کیف پول‌های دیجیتال باید پیام‌های مربوط به واگذاری دسترسی را به صراحت به کاربر نمایش دهند و هر نشانه مشکوکی را هشدار دهند.

روش‌های حمله هکرها نیز بسیار ساده و رایج هستند و می‌توانند از طریق ایمیل‌های فیشینگ، اپلیکیشن‌های جعلی، سایت‌های Dapp ساختگی یا لینک‌های تقلبی دیسکورد انجام شوند. رودیتسیا افزود:

ین روش احتمالاً به رایج‌ترین مسیر حمله در نتیجه‌ی تغییرات پکترا تبدیل خواهد شد. از این به بعد کاربران باید با دقت بالا بررسی کنن که دقیقاً چه چیزی رو امضا می‌کنن.

کیف پول‌های سخت‌افزاری هم دیگر امن نیستند

پیش از این تصور می‌شد کیف پول‌های سخت‌افزاری ایمن‌ترین گزینه‌اند. اما با بروزرسانی پکترا، دیگر این موضوع صدق نمی‌کند. رودیتسیا می‌گوید:

از این به بعد کیف پول‌های سخت‌افزاری هم از نظر امضای پیام‌های مخرب به اندازه کیف پول‌های نرم‌افزاری در خطرند. اگه امضای اشتباهی انجام بشه، تمام دارایی کاربر میتونه در یک لحظه از بین بره.

چطور می‌توان از خود محافظت کرد؟

کاربران باید در امضای هر پیامی دقت کامل داشته باشند، مخصوصاً پیام‌هایی که ساختار جدیدی دارند و ممکن است به‌نظر بی‌خطر بیایند.

پیام‌هایی که با فرمت جدید EIP-7702 هستند با استانداردهای پیشین مثل EIP-191 یا EIP-712 سازگار نیستند. این پیام‌ها اغلب تنها شامل یک هش ۳۲ بایتی ساده هستند و ممکن است هشدارهای معمول را دور بزنند.

عثمان در این باره می‌گوید:

اگر پیامی حاوی نانس (شمارنده تراکنش‌های حساب) شما باشه، احتمالا به طور مستقیم بر حسابتان تاثیر داره. پیام‌های عادی یا تعهدات آفچین معمولا شامل نانس نیستند.

نکته خطرناک دیگر این است که در EIP-7702 امکان امضاهایی با chain_id برابر با صفر وجود دارد؛ یعنی این پیام‌های امضاشده می‌توانند روی هر زنجیره سازگار با اتریوم مجدداً مورد استفاده قرار بگیرند.

عثمان افزود:

درک کنید که این امضاها همه جا قابل استفاده هستند.

در این میان، کیف پول‌های چندامضایی (multisig) همچنان نسبت به این تغییر مقاوم‌تر هستند، چرا که برای هر عملیاتی نیاز به چند امضا دارند. اما کیف پول‌هایی که تنها با یک کلید کنترل می‌شوند — چه سخت‌افزاری و چه نرم‌افزاری — باید سیستم‌های جدیدی برای بررسی امضاها و شناسایی فعالیت‌های مشکوک پیاده‌سازی کنند تا مانع سوءاستفاده مهاجمان شوند.