-
Ethereum’un son EIP-7702 güncellemesi, Pectra güncellemesinin bir parçası olarak, cüzdan işlevselliğini artırıyor ancak yanlışlıkla otomatik sweeper saldırılarının artmasına neden oldu ve bu durum önemli güvenlik endişelerini gündeme getiriyor.
-
Güncelleme, hesap soyutlama yoluyla kullanıcı deneyimini iyileştirirken, saldırganlar ele geçirilmiş özel anahtarları kullanarak cüzdanları hızlı bir şekilde boşaltıyor.
-
Wintermute ve Scam Sniffer’a göre, “CrimeEnjoyor” adlı kötü niyetli bir sözleşme, bu delegasyonların %80’inden fazlasından sorumlu ve tek bir işlemde yaklaşık 150.000 dolara yakın kayıplara yol açıyor.
Ethereum’un EIP-7702’si cüzdan kullanılabilirliğini artırıyor ancak sweeper saldırıları aracılığıyla kötüye kullanılmayı hızlandırıyor; bu durum, özel anahtar güvenliğini artırma ve daha akıllı cüzdan tasarımına acil bir ihtiyaç olduğunu vurguluyor.
Ethereum’un EIP-7702: Yenilik ile Kötüye Kullanım Riski Arasında Denge
Ethereum’un Pectra güncellemesi, EIP-7702 adlı, cüzdanları akıllı sözleşmelere geçici olarak dönüştürmeyi amaçlayan bir özellik tanıttı. Bu, işlem toplama, gaz ücreti destekleme ve harcamaları kontrol etme gibi gelişmiş işlevsellikler sağlayabiliyor. Vitalik Buterin tarafından önerilen bu hesap soyutlama mekanizması, kullanıcı etkileşimlerini basitleştirmeyi ve cüzdan güvenliğini artırmayı hedefliyor. Ancak, bu faydaların yanı sıra, EIP-7702 istemeden de olsa saldırganlar için yeni fırsatlar sundu. Özelliğin esnekliği, kötü niyetli aktörler tarafından, ele geçirilmiş cüzdanları olağanüstü hız ve verimlilikle istismar etmek için kullanılıyor; otomatik sweeper sözleşmeleri aracılığıyla fonları boşaltıyorlar.
Kaynak: X
Otomatik Sweeper Saldırıları ve “CrimeEnjoyor” Sözleşmesi
Wintermute’ın güvenlik analizi, tek bir kötü niyetli sözleşmenin, “CrimeEnjoyor”, EIP-7702 delegasyonlarının %80’inden fazlasını oluşturduğunu ortaya koydu. Bu sözleşmenin basit ama son derece etkili kodu, ele geçirilmiş cüzdanlara – genellikle phishing veya özel anahtar sızıntıları yoluyla elde edilen – otomatik olarak erişim sağlıyor ve anında varlıkları saldırganların kontrolündeki adreslere aktarıyor. Ölçekli otomasyon, önemli finansal kayıplara yol açtı; Scam Sniffer tarafından belgelenen bir olayda, tek bir işlemde yaklaşık 150.000 dolarlık bir boşaltma kaydedildi. Bu, kötü ünlü Inferno Drainer hizmetiyle bağlantılıydı. Benzer birçok işlem kaydedildi ve bu güncellemenin sağladığı yaygın istismarları gözler önüne serdi.
Kaynak: X
Temel Güvenlik Sorunları: Özel Anahtarlar Zayıf Halkadır
EIP-7702’ye dikkat çekilmesine rağmen, temel zafiyet güncellemenin kendisinde değil, çalınan veya sızan özel anahtarlar sorunundadır. Yeni özellik, saldırganların cüzdan erişimi ele geçirildiğinde işlemleri daha etkili bir şekilde gerçekleştirmelerini sağlıyor. SlowMist gibi güvenlik firmaları, cüzdan sağlayıcılarının sözleşme etkileşimleri hakkında daha fazla şeffaflık sağlaması ve bu riskleri azaltmak için daha güçlü kullanıcı korumaları uygulaması gerektiğini vurguluyor. Cüzdan tasarımındaki iyileştirmeler, daha net işlem imzalama talepleri ve sağlam kullanıcı eğitimi gibi unsurlar, daha fazla kaybı önlemek için kritik öneme sahiptir.
Kaynak: X
Ethereum evrimini sürdürürken, daha akıllı cüzdan mimarisi ve güçlendirilmiş güvenlik protokollerine öncelik vermek hayati önem taşıyor. En yenilikçi özellikler bile, temel güvenlik uygulamaları ihmal edildiğinde sorun haline gelebilir.
Sonuç
Ethereum’un EIP-7702 güncellemesi, blockchain teknolojisinde yenilik ve güvenlik arasında ince bir denge olduğunu örnekliyor. Cüzdan işlevselliğini ve kullanıcı deneyimini önemli ölçüde artırsa da, özel anahtarlar tehlikeye girdiğinde kötüye kullanılmayı hızlandırıyor. Devam eden sweeper saldırıları, daha iyi kullanıcı eğitimi ve şeffaf sözleşme etkileşimleri dahil olmak üzere geliştirilmiş cüzdan güvenlik önlemleri için acil bir ihtiyaç olduğunu vurguluyor. İlerleyen süreçte, Ethereum paydaşları, ekosistemi gelişen tehditlerden korumak için bu temel savunmaları güçlendirmeye odaklanmalıdır.
