이더리움 Pectra 업그레이드
이더리움의 최신 네트워크 업그레이드인 Pectra는 확장성과 스마트 계약 기능의 개선을 목표로 하는 강력한 새로운 기능을 도입했습니다. 그러나 이와 동시에 해킹의 위험이 커졌습니다. 해커가 사용자 지갑의 자금을 단순한 오프체인 서명만으로 탈취할 수 있는 새로운 공격 경로가 발생한 것입니다.
업그레이드 배경 및 위험
Pectra 업그레이드는 5월 7일에 시행되었으며, 공격자들은 새로운 거래 유형을 이용하여 사용자가 온체인 거래에 서명할 필요 없이 외부 소유 계좌(EOA)를 장악할 수 있습니다. Solidity 스마트 계약 감사자인 아르다 웃스만은 Cointelegraph에 다음과 같이 경고했습니다:
“해커가 오프체인에서 서명된 메시지만으로 EOA의 자금을 비울 수 있게 된다.”
Pectra의 핵심 요소 EIP-7702
위험의 중심에는 Pectra 업그레이드의 핵심 요소인 EIP-7702가 자리 잡고 있습니다. 이 이더리움 개선 제안(EIP)은 사용자가 메시지에 서명하기만 하면 지갑의 제어를 또 다른 계약으로 위임할 수 있는 SetCode 거래(유형 0x04)를 도입합니다. 공격자가 이 서명을 확보하면, 지갑의 코드를 작은 프록시로 덮어써서 그들의 악의적인 계약으로 호출을 전달할 수 있습니다. 웃스만은 설명합니다:
“코드가 설정되면, 공격자는 사용자가 일반적인 전송 거래에 서명해 본 적 없이도 계정의 ETH 또는 토큰을 전송하는 코드를 호출할 수 있습니다.”
위험의 실질성 및 대응
이러한 위협은 실질적이고 즉각적입니다. 아르다 웃스만은 “Pectra는 2025년 5월 7일에 활성화되었습니다. 그 순간부터 유효한 위임 서명은 실행 가능해집니다”라고 경고했습니다. 특히 이전에는 사용자가 자금을 이동할 수 있도록 거래를 보내야 했습니다. 그러나 이제는 단순한 오프체인 서명만으로 공격자의 계약에 대한 완전한 제어를 위임하는 코드를 설치할 수 있게되었습니다.
루디차는 강조합니다:
“지갑이 이더리움의 거래 유형을 분석하지 않으면 위험이 커진다.”
이번 업그레이드로 인해 발생할 수 있는 새로운 공격 형태는 피싱 이메일, 가짜 DApp 또는 Discord 사기를 통한 오프체인 상호작용으로 매우 쉽게 실행될 수 있습니다. 루디차는 이렇게 말했습니다:
“우리는 이것이 Pectra가 도입한 변화로 인해 가장 인기 있는 공격 경로가 될 것이라고 믿습니다. 이제부터 사용자는 서명할 내용을 신중하게 검증해야 합니다.”
하드웨어 지갑의 위협 및 주의사항
하드웨어 지갑도 더 이상 안전하지 않습니다. 루디차는 하드웨어 지갑이 본질적으로 안전하지 않다고 설명하며, 이제 하드웨어 지갑도 악의적인 메시지 서명과 관련하여 핫 지갑과 동일한 위험이 있다고 덧붙였습니다. 그는 다음과 같이 경고했습니다:
“이렇게 된다면 모든 자금이 순식간에 사라질 수 있습니다.”
안전하게 지내는 방법은 있지만 인식이 필요합니다. 루디차는 “사용자는 이해하지 못하는 메시지에 서명하지 말아야 합니다”라고 조언했습니다. 또한 사용자가 위임 메시지에 서명하도록 요청받을 때 경고를 제공하는 지갑 개발자를 촉구했습니다.
EIP-7702의 새로운 서명 형식
EIP-7702에서 도입한 새로운 위임 서명 형식은 기존 EIP-191 또는 EIP-712 표준과 호환되지 않는 형식이므로 특별한 주의가 필요합니다. 이러한 메시지는 종종 간단한 32바이트 해시 형식으로 나타나며 일반적인 지갑 경고를 우회할 수 있습니다. 웃스만은 경고합니다:
“메시지에 귀하의 계좌 nonce가 포함되어 있다면, 아마도 귀하의 계좌에 직접적인 영향을 미치고 있을 것입니다.”
마지막으로, 멀티서명 지갑은 여러 서명자의 필요 덕분에 이번 업그레이드에서 더 안전하나, 단일 키 지갑(하드웨어 지갑 포함)은 새로운 서명 파싱 및 경고 도구를 채택하여 잠재적 악용을 방지해야 합니다. EIP-7702와 함께 Pectra에는 이더리움의 검증자 스테이킹 한도를 32에서 2,048 ETH로 늘리는 EIP-7251과 더 나은 레이어-2 확장을 위한 블록당 데이터 블롭 수를 늘리는 EIP-7691도 포함되어 있습니다.
