Ethereum(ETH) lộ lỗ hổng bảo mật nghiêm trọng sau nâng cấp Pectra

Ethereum (ETH) đối mặt nguy cơ bảo mật nghiêm trọng sau bản nâng cấp mạng Pectra

Bản nâng cấp mạng mới nhất của Ethereum(ETH) mang tên “Pectra” đã chính thức được triển khai tại Epoch 364032 từ ngày 7 tháng 5. Mặc dù được kỳ vọng sẽ cải thiện khả năng mở rộng và giới thiệu tính năng ví thông minh, nhưng Pectra lại đang bị chỉ trích gay gắt do để lộ *lỗ hổng bảo mật* nghiêm trọng, có thể tạo điều kiện cho hacker chiếm đoạt tài sản người dùng với chỉ một chữ ký ngoài chuỗi (off-chain).

Theo các chuyên gia bảo mật, đặc biệt là Arda Usman – nhà nghiên cứu chuyên kiểm toán hợp đồng thông minh bằng ngôn ngữ Solidity – tính năng mới “SetCode transaction” bên trong EIP-7702 cho phép hacker thay đổi mã trong ví người dùng. Điều đáng lo ngại là kẻ tấn công có thể chỉ cần lừa nạn nhân ký một thông điệp không liên quan (off-chain message) qua các trang web phishing, rồi từ đó giành quyền điều khiển ví và chuyển tài sản ra ngoài mà không cần thêm bất kỳ xác thực nào từ phía người dùng.

EIP-7702 là cải tiến kỹ thuật trung tâm của bản nâng cấp lần này, cho phép người dùng ủy quyền kiểm soát ví cho một hợp đồng thông minh ngoài chuỗi mà không cần chữ ký trực tiếp lên giao dịch on-chain. Tuy nhiên, theo bình luận từ giới chuyên môn, cấu trúc này đã vô tình mở ra cửa hậu cho các cuộc tấn công bằng cách thay thế code của người dùng bằng đoạn mã độc. Điều này bị lợi dụng thông qua một loại giao dịch được gọi là “transaction kiểu 0x04”, cho phép hacker tái viết toàn bộ logic vận hành của ví.

Sự cố mới nêu bật một nghịch lý trong thiết kế Ethereum: nỗ lực nâng cao trải nghiệm người dùng – như việc đơn giản hoá thao tác với hợp đồng thông minh – có thể dẫn tới việc đánh đổi tính an toàn của tài sản on-chain. Điều này khiến cộng đồng phát triển Ethereum và Quỹ Ethereum chịu áp lực lớn trong việc sớm đưa ra các *hướng dẫn an toàn* nghiêm ngặt để bảo vệ người dùng khỏi các rủi ro tương tự.

Hiện nay, người dùng Ethereum(ETH) được khuyến cáo nên cẩn trọng với các yêu cầu ký thông điệp khi truy cập website lạ và tạm thời hạn chế sử dụng các ví hoặc ứng dụng hỗ trợ EIP-7702 cho đến khi có thêm biện pháp bảo vệ. Với mức độ tài sản và người dùng đang tăng vọt, một *lỗ hổng bảo mật* không được khắc phục nhanh chóng có thể gây thiệt hại lớn cho toàn bộ hệ sinh thái Ethereum(ETH).