Ethereum недавно прошел через обновление сети с форком Pectra, который добавил новые функции, улучшения и, конечно, уязвимости. Но вот беда — не прошло и часа после изменений, как пользователи начали бить тревогу по поводу одной новой угрозы: апрува транзакций.
Один из пользователей в Telegram сразу написал:
«Будьте осторожны, что подписываете… Одного подписанного сообщения достаточно, чтобы забрать все токены».
Еще один подтвердил, сказав:
«Подписал сообщение — и все, вы потеряли все!».
Сначала это звучало как простая паника, но вскоре стало ясно, что дело не в преувеличениях.
Обновление Pectra привнесло в систему Ethereum EIP-3074, в котором появились новые операционные коды — AUTH и AUTHCALL. Эти коды позволяют владельцам частных ключей делегировать свои полномочия смарт-контрактам. Звучит вроде бы как шаг к улучшению абстракции аккаунтов, но не все так радужно. Критики указывают, что это открывает новые уязвимости — хакеры могут забрать все активы из кошелька, если пользователь случайно делегирует управление своим ключом.
Источник: cryptonews.net