以太坊 Pectra 网络升级
以太坊最新的网络升级 Pectra 引入了一些强大的新功能,旨在提高可扩展性和智能账户的功能。然而,这次升级也开启了一个潜在的安全隐患。攻击者可以仅依靠 离线签名 从用户的钱包中提取资金。
升级详细信息
Pectra 升级于 2025 年 5 月 7 日 在第 364032 个区块正式上线后,攻击者能够利用一种新交易类型来控制外部拥有账户(EOA),而无需用户签署链上的交易。Solidity 智能合约审计师 Arda Usman 向 Cointelegraph 确认,
“攻击者只需一次离线签名的消息(而无需用户直接签署的链上交易)就可以提取 EOA 的资金。”
安全隐患
这一风险的核心在于 Pectra 升级的重要组成部分 EIP-7702。该以太坊改进提案引入了一种名为 SetCode 的交易(类型 0x04),用户只需签署一条消息即可将他们的钱包控制权委托给另一个合约。
如果攻击者通过钓鱼网站获取这一签名,他们就可以用一个恶意的代理替换钱包的代码,而这个代理会转发他们的恶意合约。Usman 解释道:
“一旦代码被设置完成,攻击者可以调用该代码将账户中的 ETH 或代币转移出去,而用户根本不需要签署任何正常的转账交易。”
