Pectra 升級引發安全疑慮：駭客可透過離線簽名盜取以太坊錢包資金

以太坊的最新網路升級 Pectra 引入了旨在提高可擴展性和智慧帳戶功能的強大新功能，但也開啟了一個危險的新攻擊媒介，駭客僅使用離線簽名即可盜取使用者錢包中的資金。在 5 月 7 日 epoch 364032 啟動的 Pectra 升級中，攻擊者可以利用一種新的交易類型來控制外部擁有的帳戶 (EOA)，而無需使用者簽署鏈上交易。Solidity 智慧合約審計員 Arda Usman 向 Cointelegraph 證實：「攻擊者可以僅使用離線簽名訊息（使用者沒有直接簽署鏈上交易）來耗盡 EOA 的資金。」風險的核心是 EIP-7702，這是 Pectra 升級的核心元件。以太坊改進提案引入了 SetCode 交易（類型 0x04），允許使用者僅透過簽署訊息將其錢包的控制權委託給另一個合約。如果攻擊者獲得此簽名（例如，透過網路釣魚網站），他們可以用一個小的代理覆蓋錢包的代碼，將呼叫轉發到他們的惡意合約。