Nâng cấp Ethereum(ETH) gây lo ngại khi mở ra nguy cơ chiếm ví qua chữ ký ngoại tuyến

Nâng cấp Ethereum mở đường cho tấn công ví qua chữ ký ngoại tuyến

Nâng cấp mới nhất của Ethereum(ETH) mang tên “Pectra” hướng đến việc cải thiện tài khoản thông minh và tăng cường khả năng mở rộng, nhưng đồng thời cũng mở ra một kênh tấn công đầy rủi ro khiến cộng đồng lo ngại. Theo Cointelegraph đưa tin ngày 7 tháng 5 (giờ địa phương), các chuyên gia cảnh báo rằng kẻ tấn công có thể chiếm đoạt tiền trong ví người dùng chỉ bằng một chữ ký được tạo ngoài chuỗi (off-chain), mà không cần xác thực trực tiếp trên chuỗi (on-chain).

Cụ thể, nâng cấp "Pectra" chính thức được triển khai trên Ethereum tại khối thuốc súng thứ 364032 vào ngày 7 tháng 5. Từ thời điểm đó, hacker có thể lợi dụng định dạng giao dịch mới để thao túng các tài khoản sở hữu bên ngoài (EOA) mà không cần sự đồng ý trực tiếp từ ví. Chuyên gia kiểm toán bảo mật Solidity, Arda Usman, phát biểu: “Sau khi Pectra được triển khai, chỉ cần một thông điệp có chữ ký ngoại tuyến, kẻ xấu có thể chiếm đoạt hoàn toàn tài sản trong ví EOA.”

Nguy cơ trên xuất phát từ đề xuất cải tiến EIP-7702 – thành phần quan trọng trong gói nâng cấp lần này. Đề xuất này giới thiệu chức năng “SetCode” dưới dạng giao dịch loại 0x04, cho phép người dùng ủy quyền quyền truy cập ví cho một hợp đồng thông minh chỉ thông qua chữ ký. Tuy nhiên, nếu chữ ký này bị đánh cắp – chẳng hạn qua các trang web lừa đảo – kẻ tấn công có thể cài mã độc và thay đổi hành vi của ví, chuyển hướng toàn bộ quyền kiểm soát sang hợp đồng mà chúng điều khiển.

Đáng chú ý, dù người dùng không phê duyệt bất kỳ giao dịch nào trên chuỗi, ví của họ vẫn có thể bị kiểm soát mà không một cảnh báo rõ ràng. Cơ chế này khiến loại hình tấn công trở nên nguy hiểm hơn các cách thức truyền thống, khi nó không đòi hỏi triển khai toàn bộ hợp đồng hay xác nhận giao dịch.

Hiện tại, cộng đồng Ethereum đang bày tỏ lo ngại rằng Pectra – dù nhắm đến việc nâng cao tính linh hoạt và thuận tiện – lại vô tình gia tăng mối đe dọa bảo mật cho người dùng. Tính năng mà EIP-7702 mang lại là không thể phủ nhận, nhưng giới chuyên gia kêu gọi cần sớm đưa ra các biện pháp bảo vệ tương ứng trước khi các cuộc tấn công thực tế bùng phát trên diện rộng.

Bình luận: Pectra đang mở ra kỷ nguyên tính năng tiên tiến cho Ethereum(ETH), nhưng nếu thiếu các "từ" cơ chế cảnh báo và bảo mật tương ứng, nó có thể trở thành con dao hai lưỡi, đe dọa chính những người dùng mà nó muốn phục vụ.