Bản nâng cấp Ethereum EIP-7702 đang bị khai thác qua các cuộc tấn công sweeper tự động.
Nguyên nhân thực sự xuất phát từ việc rò rỉ private key chứ không phải do bản nâng cấp.
Bản nâng cấp mới nhất của Ethereum, Pectra, mang lại nhiều cải tiến giúp ví tiền điện tử thông minh và dễ dùng hơn, nhưng lại trở thành cơ hội cho kẻ tấn công.
Chỉ vài tuần sau khi ra mắt, tính năng EIP-7702 đã bị lợi dụng trong làn sóng tấn công sweeper tự động.
Hacker đã rút gần 150.000 USD từ một ví bị xâm phạm, đặt ra câu hỏi về cách Ethereum cân bằng giữa trải nghiệm người dùng và bảo mật.
Bản nâng cấp tiềm năng hay mảnh đất cho tin tặc?
Bản nâng cấp Pectra của Ethereum giới thiệu EIP-7702, cho phép ví tiền điện tử tạm thời hoạt động như hợp đồng thông minh nhằm nâng cao trải nghiệm người dùng.
Tính năng này, do Vitalik Buterin đề xuất, hỗ trợ trừu tượng hóa tài khoản, cho phép người dùng gộp giao dịch, tài trợ phí gas và kiểm soát chi tiêu chặt chẽ hơn.
Mặc dù cải thiện tính tiện lợi và bảo mật cho ví, EIP-7702 cũng trở thành mục tiêu dễ bị tấn công.
Nguồn: X
Phân tích của Wintermute cho thấy hơn 80% các ủy quyền EIP-7702 được sử dụng bởi một hợp đồng độc hại duy nhất, gọi là “CrimeEnjoyor”. Mã hợp đồng này ngắn gọn, sao chép nhưng rất hiệu quả.
Khi hợp đồng này truy cập được vào ví bị xâm phạm – thường qua phishing – nó lập tức rút hết tiền về địa chỉ của kẻ tấn công.
Đây là kiểu tấn công tự động quy mô lớn và gây thiệt hại nghiêm trọng.
Nguồn: X
Công ty bảo mật blockchain Scam Sniffer nhận định một vụ việc nạn nhân bị mất gần 150.000 USD trong một giao dịch gộp duy nhất liên quan đến dịch vụ Inferno Drainer nổi tiếng.
Với hàng nghìn giao dịch tương tự được ghi nhận, các tính năng nhằm đơn giản hóa Ethereum cũng có thể đồng thời đẩy nhanh các lỗ hổng bảo mật.
Có thể vấn đề không phải từ mã nguồn
Vấn đề cốt lõi của đợt tấn công rút tiền gần đây không phải do EIP-7702 gây ra mà là tình trạng private key bị lộ hoặc đánh cắp.
Tính năng mới chỉ giúp hacker khai thác ví bị xâm phạm nhanh hơn và tiết kiệm chi phí hơn. Các công ty bảo mật như SlowMist khuyến nghị nhà phát triển ví phải tăng cường theo dõi tương tác hợp đồng và nâng cao bảo vệ người dùng.
Nguồn: X
Khi Ethereum tiếp tục phát triển, ưu tiên cần tập trung vào thiết kế ví thông minh hơn, cảnh báo rõ ràng khi ký giao dịch và nâng cao ý thức bảo mật cho người dùng.
Bởi dù tính năng có sáng giá đến đâu, chúng cũng sẽ phản tác dụng khi bảo mật cơ bản bị lơ là.
Nguồn: https://tintucbitcoin.com/tinh-nang-ethereum-moi-phan-tac-dung-mat-150k-usd-trong-tan-cong-sweeper-sau-nang-cap-pectra/
Cảm ơn các bạn đã đọc bài viết này!
Hãy Like, Comment và Follow TinTucBitcoin để luôn cập nhật những tin tức mới nhất về thị trường tiền điện tử và không bỏ lỡ bất kỳ thông tin quan trọng nào nhé!
