قابلیت جدید Pectra اتریوم علیه خود عمل کرد؛ ۱۵۰ هزار دلار در حملات Sweeper سرقت شد

گس

اتریوم

مفاهیم کلیدی

• بهره‌برداری مهاجمان از قابلیت EIP-7702 در به‌روزرسانی Pectra برای حملات خودکار Sweeper

• دزدیده شدن نزدیک به ۱۵۰ هزار دلار از یک تراکنش دسته‌ای توسط سرویس Inferno Drainer

• افزایش درخواست‌ها برای بهبود شفافیت تعاملات قراردادی و آموزش کاربری جهت جلوگیری از نشت کلیدهای خصوصی

حملات خودکار Sweeper پس از به‌روزرسانی Pectra

به‌روزرسانی اخیر اتریوم، موسوم به Pectra، قرار بود که کیف‌پول‌ها را هوشمندتر و کاربرپسندتر کند. اما تنها چند هفته پس از عرضه، مهاجمان با بهره‌برداری از قابلیت جدید EIP-7702 حملاتی را آغاز کرده‌اند که بیش از ۱۵۰ هزار دلار را از کیف‌پول‌های درگیر دزدیده‌اند و پرسش‌های مهمی را درباره توازن قابلیت و امنیت اتریوم مطرح کرده‌اند.

قابلیت EIP-7702 و مشکلات امنیتی

به‌روزرسانی Pectra قابلیت EIP-7702 را معرفی کرد که به کیف‌پول‌ها اجازه می‌دهد موقتا مانند قرارداد هوشمند عمل کنند تا تجربه کاربری بهتری ارائه شود. این پیشنهاد که توسط ویتالیک بوترین مطرح شد، از مفهومی به نام انتزاع حساب (Account Abstraction) پشتیبانی می‌کند و امکاناتی مانند دسته‌بندی تراکنش‌ها، اسپانسرکردن کارمزد گس و اعمال کنترل‌های سختگیرانه‌تر روی هزینه‌کرد را فراهم می‌آورد. اما این نوآوری در عین حال هدف جذابی برای مهاجمان بوده است.

تحلیل حملات و پیشنهادات امنیتی

شرکت Wintermute گزارش داده که بیش از ۸۰٪ از مجوزهای EIP-7702 توسط یک قرارداد مخرب به نام “CrimeEnjoyor” استفاده می‌شود. این قرارداد ساده و کپی‌برداری‌شده، به محض دسترسی به کیف‌پول قربانی—اغلب از طریق فیشینگ—فورا وجوه را خالی می‌کند. همچنین شرکت امنیت بلاک‌چین Scam Sniffer به موردی اشاره کرده که قربانی در یک تراکنش دسته‌ای نزدیک به ۱۵۰ هزار دلار را از دست داده است. با توجه به هزاران تراکنش مشابه، روشن است که ویژگی‌هایی که برای ساده‌تر کردن اتریوم در نظر گرفته شده بودند، می‌توانند آسیب‌پذیری‌ها را هم تشدید کنند.

سازمان‌های امنیتی مانند SlowMist هشدار می‌دهند که موضوع اصلی نشت یا سرقت کلیدهای خصوصی است و EIP-7702 صرفا کار مهاجمان را سریع‌تر و ارزان‌تر کرده است. آن‌ها از ارائه‌دهندگان کیف‌پول می‌خواهند شفافیت تعاملات قراردادی را افزایش داده و حفاظت‌های کاربری را بهبود بخشند.

با ادامه تکامل اتریوم، اولویت باید به طراحی هوشمندتر کیف‌پول، نمایش واضح‌تر درخواست‌های امضا و آموزش بهتر کاربران معطوف شود؛ چرا که حتی امیدوارکننده‌ترین ویژگی‌ها هم می‌توانند وقتی امنیت پایه‌ای شکست می‌خورد، به سلاح بدل شوند.