Ethereum के नवीनतम नेटवर्क अपग्रेड, Pectra, ने स्केलेबिलिटी और स्मार्ट खाता कार्यक्षमता में सुधार के उद्देश्य से शक्तिशाली नई सुविधाओं को पेश किया – लेकिन इसने एक खतरनाक नए हमले वेक्टर को भी खोला, जो हैकर्स को केवल एक ऑफचेन हस्ताक्षर का उपयोग करके उपयोगकर्ता वॉलेट से फंड ड्रेन करने की अनुमति दे सकता है।

पेक्ट्रा अपग्रेड के तहत, जो 7 मई को Epoch 364032 पर लाइव हुआहमलावर उपयोगकर्ता को एक onchain लेनदेन पर हस्ताक्षर करने की आवश्यकता के बिना बाहरी स्वामित्व वाले खातों (EOAS) का नियंत्रण लेने के लिए एक नए लेनदेन प्रकार का शोषण कर सकते हैं।

आर्दा उस्मान, एक सॉलिडिटी स्मार्ट कॉन्ट्रैक्ट ऑडिटर, ने कोइंटेलग्राफ को पुष्टि की कि “यह हमलावर के लिए केवल एक ऑफचेन हस्ताक्षरित संदेश (उपयोगकर्ता द्वारा हस्ताक्षरित कोई प्रत्यक्ष ऑनचेन लेनदेन नहीं) का उपयोग करके ईओए के फंडों को सूखने के लिए संभव हो जाता है।”

जोखिम के केंद्र में ईआईपी -7702 है, जो पेक्ट्रा अपग्रेड का एक मुख्य घटक है। Ethereum सुधार प्रस्ताव सेटकोड लेनदेन (टाइप 0x04) का परिचय देता है, जो उपयोगकर्ताओं को केवल संदेश पर हस्ताक्षर करके अपने वॉलेट के नियंत्रण को किसी अन्य अनुबंध पर सौंपने में सक्षम बनाता है।

यदि कोई हमलावर इस हस्ताक्षर को प्राप्त करता है – कहते हैं, एक फ़िशिंग साइट के माध्यम से – वे एक छोटे से प्रॉक्सी के साथ वॉलेट के कोड को अधिलेखित कर सकते हैं जो उनके दुर्भावनापूर्ण अनुबंध को कॉल करता है।

“एक बार कोड सेट हो जाने के बाद,” उस्मान ने समझाया, “हमलावर उस कोड को खाता के ETH या टोकन को स्थानांतरित करने के लिए आमंत्रित कर सकता है – सभी उपयोगकर्ता के बिना कभी भी एक सामान्य स्थानांतरण लेनदेन पर हस्ताक्षर करने के लिए।”

संबंधित: Ethereum pectra अपग्रेड नई सुविधाएँ जोड़ता है

बटुए को ऑफचिन हस्ताक्षर के साथ बदला जा सकता है

हैकेन के ऑनचेन शोधकर्ता, येहोर रुड्ट्सिया ने कहा कि पेक्ट्रा द्वारा पेश किया गया यह नया लेनदेन प्रकार उपयोगकर्ता के खाते पर मनमाना कोड स्थापित करने की अनुमति देता है, अनिवार्य रूप से अपने बटुए को एक प्रोग्राम योग्य स्मार्ट अनुबंध में बदल देता है।

“यह TX प्रकार उपयोगकर्ता को मनमाने ढंग से कोड (स्मार्ट अनुबंध) सेट करने की अनुमति देता है, जो उपयोगकर्ता की ओर से संचालन को निष्पादित करने में सक्षम हो सकता है,” रुडिटिया ने कहा।

पेक्ट्रा से पहले, उपयोगकर्ता द्वारा सीधे हस्ताक्षरित लेनदेन के बिना बटुए को संशोधित नहीं किया जा सकता है। अब, एक साधारण ऑफचिन हस्ताक्षर कोड स्थापित कर सकता है जो एक हमलावर के अनुबंध पर पूर्ण नियंत्रण को प्रतिनिधि करता है।

रूड्ट्सिया ने कहा, “प्री-अक्ट्रेग, उपयोगकर्ताओं को अपने फंड को स्थानांतरित करने की अनुमति देने के लिए लेनदेन (साइन मैसेज नहीं) भेजने की आवश्यकता है … पोस्ट-एक्स्ट्रा, किसी भी ऑपरेशन को अनुबंध से निष्पादित किया जा सकता है जिसे उपयोगकर्ता ने SET_CODE के माध्यम से अनुमोदित किया था।”

खतरा वास्तविक और तत्काल है। “पेक्ट्रा सक्रिय 7 मई, 2025 को सक्रिय कर दिया। उस क्षण से, कोई भी वैध प्रतिनिधिमंडल हस्ताक्षर कार्रवाई योग्य है,” उस्मान ने चेतावनी दी। उन्होंने कहा कि पुरानी मान्यताओं पर भरोसा करने वाले स्मार्ट अनुबंध, जैसे कि tx.origin या मूल EOA-only चेक का उपयोग करना, विशेष रूप से कमजोर हैं।

वॉलेट और इंटरफेस जो इन नए लेनदेन प्रकारों का पता लगाने या ठीक से प्रतिनिधित्व करने में विफल रहते हैं, वे सबसे अधिक जोखिम में हैं। रुड्ट्सिया ने चेतावनी दी कि “बटुए असुरक्षित हैं यदि वे एथेरियम के लेनदेन प्रकारों का विश्लेषण नहीं करते हैं,” विशेष रूप से लेनदेन प्रकार 0x04।

उन्होंने इस बात पर जोर दिया कि वॉलेट इंजन को स्पष्ट रूप से प्रतिनिधिमंडल अनुरोधों को प्रदर्शित करना चाहिए और किसी भी संदिग्ध पते को चिह्नित करना चाहिए।

हमले के इस नए रूप को फ़िशिंग ईमेल, नकली डैप्स, या डिस्कॉर्ड स्कैम जैसे सामान्य ऑफचिन इंटरैक्शन के माध्यम से आसानी से निष्पादित किया जा सकता है।

“हम मानते हैं कि यह पेक्ट्रा द्वारा पेश किए गए इन ब्रेकिंग परिवर्तनों के बारे में सबसे लोकप्रिय हमला वेक्टर होगा,” रुडिटिया ने कहा। “अब से, उपयोगकर्ताओं को ध्यान से मान्य करना होगा कि वे क्या हस्ताक्षर करने जा रहे हैं।”

संबंधित: पहले से ही उपयोग में pectra विशेषताएं: Ethereum EIP-7702 वॉलेट्स रोल आउट

हार्डवेयर वॉलेट अब सुरक्षित नहीं हैं

हार्डवेयर पर्स अब स्वाभाविक रूप से सुरक्षित नहीं हैं, रुडिटिया ने कहा। उन्होंने कहा कि अब से हार्डवेयर की बटुए दुर्भावनापूर्ण संदेशों पर हस्ताक्षर करने के परिप्रेक्ष्य से गर्म पर्स के समान जोखिम में हैं। “अगर किया जाता है – सभी फंड एक पल में चले गए हैं।”

सुरक्षित रहने के तरीके हैं, लेकिन उन्हें जागरूकता की आवश्यकता है। रुड्ट्सिया ने सलाह दी, “उपयोगकर्ताओं को उन संदेशों पर हस्ताक्षर नहीं करना चाहिए जो वे नहीं समझते हैं।” उन्होंने वॉलेट डेवलपर्स से यह भी आग्रह किया कि जब उपयोगकर्ताओं को एक प्रतिनिधिमंडल संदेश पर हस्ताक्षर करने के लिए कहा जाए तो स्पष्ट चेतावनी प्रदान करें।

EIP-7702 द्वारा पेश किए गए नए प्रतिनिधिमंडल हस्ताक्षर प्रारूपों के साथ विशेष सावधानी बरती जानी चाहिए, जो मौजूदा EIP-191 या EIP-712 मानकों के साथ संगत नहीं हैं। ये संदेश अक्सर सरल 32-बाइट हैश के रूप में दिखाई देते हैं और सामान्य वॉलेट चेतावनी को बायपास कर सकते हैं।

“यदि एक संदेश में आपका खाता नॉन शामिल है, तो यह शायद आपके खाते को सीधे प्रभावित कर रहा है,” उस्मान ने चेतावनी दी। “सामान्य साइन-इन संदेश या ऑफचेन कमिटमेंट में आमतौर पर आपके नॉन को शामिल नहीं किया जाता है।”

जोखिम में जोड़ते हुए, EIP-7702 श्रृंखला_आईडी = 0 के साथ हस्ताक्षर के लिए अनुमति देता है, जिसका अर्थ है कि हस्ताक्षरित संदेश को किसी भी एथेरियम-संगत श्रृंखला पर फिर से खेलना जा सकता है। “समझें कि इसका उपयोग कहीं भी किया जा सकता है,” उस्मान ने कहा।

जबकि बहुस्तरीय बटुए इस अपग्रेड के तहत अधिक सुरक्षित रहें, कई साइनरों के लिए उनकी आवश्यकता के लिए धन्यवाद, एकल-कुंजी वॉलेट-हार्डवेयर या अन्यथा-संभावित शोषण को रोकने के लिए नए हस्ताक्षर पार्सिंग और लाल-फ्लैगिंग टूल को अपनाना चाहिए।

EIP-7702 के साथ, पेक्ट्रा में EIP-7251 भी शामिल थाजिसने Ethereum की सत्यापनकर्ता स्टैकिंग लिमिट को 32 से 2,048 ETH, और EIP-7691 तक बढ़ा दिया, जिससे बेहतर लेयर -2 स्केलेबिलिटी के लिए प्रति ब्लॉक डेटा ब्लॉब्स की संख्या बढ़ जाती है।

पत्रिका: बिटकॉइन आइज़ ‘क्रेजी नंबर,’ जेडी वेंस सेट फॉर बिटकॉइन टॉक: होडलर डाइजेस्ट, 4 मई – 10