Bản Cập Nhật Ethereum Pectra: Tính Năng Mới và Rủi Ro Bảo Mật
Bản cập nhật mới nhất của mạng lưới Ethereum, Pectra, đã giới thiệu nhiều tính năng mạnh mẽ nhằm cải thiện khả năng mở rộng và chức năng tài khoản thông minh. Tuy nhiên, nó cũng đã mở ra một vectơ tấn công nguy hiểm, cho phép hacker rút tiền từ ví của người dùng chỉ bằng một chữ ký ngoài chuỗi.
Rủi Ro Từ Giao Dịch Mới
Kể từ ngày 7 tháng 5 tại epoch 364032, dưới bản nâng cấp Pectra, những kẻ tấn công có thể tận dụng một loại giao dịch mới để kiểm soát các tài khoản sở hữu bên ngoài (EOA) mà không cần người dùng phải ký một giao dịch trong chuỗi. Arda Usman, một kiểm toán viên hợp đồng thông minh Solidity, khẳng định với Cointelegraph rằng:
“Một kẻ tấn công có thể rút tiền từ quỹ EOA chỉ bằng một thông điệp đã ký ngoài chuỗi (không có giao dịch trực tiếp nào được ký bởi người dùng).”
Rủi ro chủ yếu xuất phát từ EIP-7702, một phần cốt lõi của bản nâng cấp Pectra. Đề xuất Cải tiến Ethereum này giới thiệu giao dịch SetCode (loại 0x04), cho phép người dùng ủy quyền kiểm soát ví của họ cho một hợp đồng khác chỉ bằng cách ký một thông điệp. Nếu kẻ tấn công có được chữ ký này – chẳng hạn, thông qua một trang web lừa đảo – họ có thể ghi đè mã của ví bằng một proxy nhỏ, chuyển tiếp các cuộc gọi đến hợp đồng độc hại của họ. Usman giải thích:
“Khi mã đã được thiết lập, kẻ tấn công có thể kích hoạt mã đó để chuyển ETH hoặc token từ tài khoản – tất cả đều không cần người dùng ký một giao dịch chuyển nhượng bình thường.”
Chức Năng Mới và Tính Bảo Mật
Yehor Rudytsia, nhà nghiên cứu onchain tại Hacken, cho biết loại giao dịch mới này do Pectra giới thiệu cho phép cài đặt mã tùy ý trên tài khoản của người dùng, về cơ bản biến ví của họ thành một hợp đồng thông minh có thể lập trình:
“Loại giao dịch này cho phép người dùng thiết lập mã tùy ý (hợp đồng thông minh) để thực hiện các thao tác thay mặt cho họ.”
Trước khi có Pectra, ví không thể sửa đổi mà không có giao dịch được ký trực tiếp bởi người dùng. Giờ đây, chỉ cần một chữ ký ngoài chuỗi đơn giản cũng có thể cài đặt mã ủy quyền quyền kiểm soát hoàn toàn cho hợp đồng của kẻ tấn công. Rudytsia giải thích:
“Trước Pectra, người dùng cần phải gửi giao dịch (không chỉ ký thông điệp) để cho phép chuyển tiền. Sau Pectra, bất kỳ thao tác nào cũng có thể được thực hiện từ hợp đồng mà người dùng đã phê duyệt qua SET_CODE.”
Cảnh Báo và Đề Xuất
Mối đe dọa này rất thực tế và ngay lập tức. Usman cảnh báo:
“Pectra đã được kích hoạt vào ngày 7 tháng 5 năm 2025. Kể từ thời điểm đó, bất kỳ chữ ký ủy quyền hợp lệ nào đều có thể bị xử lý.”
Rudytsia nhấn mạnh rằng các ví dễ bị tấn công nếu không phân tích các loại giao dịch của Ethereum, đặc biệt là loại giao dịch 0x04. Ông kêu gọi rằng các động cơ ví phải rõ ràng hiển thị các yêu cầu ủy quyền và gắn cờ bất kỳ địa chỉ đáng ngờ nào. Hình thức tấn công mới này có thể dễ dàng được thực hiện qua các tương tác ngoài chuỗi phổ biến như email lừa đảo, DApps giả mạo hoặc lừa đảo trên Discord:
“Chúng tôi tin rằng đây sẽ là vectơ tấn công phổ biến nhất liên quan đến những thay đổi đáng ngạc nhiên mà Pectra giới thiệu. Từ bây giờ, người dùng phải cẩn thận xác thực những gì họ sẽ ký.”
Ví phần cứng không còn an toàn về mặt bản chất, theo Rudytsia. Ông cho biết rằng từ giờ trở đi, ví phần cứng cũng có mức độ rủi ro tương đương ví nóng trong việc ký các thông điệp độc hại. Ông khuyên:
“Người dùng không nên ký các thông điệp mà họ không hiểu. Các nhà phát triển ví nên cung cấp cảnh báo rõ ràng khi người dùng được yêu cầu ký một thông điệp ủy quyền.”
Đặc biệt cần thận trọng với các định dạng chữ ký ủy quyền mới được giới thiệu bởi EIP-7702, không tương thích với các tiêu chuẩn EIP-191 hoặc EIP-712 hiện có. Chúng thường xuất hiện dưới dạng hash 32 byte đơn giản và có thể bỏ qua các cảnh báo thông thường của ví. Usman cảnh báo:
“Nếu thông điệp bao gồm nonce tài khoản của bạn, nhiều khả năng nó đang ảnh hưởng trực tiếp đến tài khoản của bạn.”
Thêm vào rủi ro, EIP-7702 cho phép các chữ ký với chain_id = 0, có nghĩa là thông điệp được ký có thể được phát lại trên bất kỳ chuỗi tương thích Ethereum nào. Usman nhấn mạnh:
“Hãy hiểu rằng điều này có thể được sử dụng ở bất kỳ đâu.”
Mặc dù các ví đa chữ ký vẫn an toàn hơn dưới bản nâng cấp này, nhờ vào yêu cầu về nhiều chữ ký, các ví đơn khóa – bao gồm cả ví phần cứng hay ví mềm – cần áp dụng công cụ phân tích chữ ký và cảnh báo để ngăn chặn việc khai thác tiềm tàng.
Cùng với EIP-7702, Pectra cũng đã bao gồm EIP-7251, nâng hạn mức staking của validator Ethereum từ 32 lên 2,048 ETH, và EIP-7691, tăng số lượng blob dữ liệu mỗi khối để cải thiện khả năng mở rộng lớp-2.
