Foto: Trismegist san/Shutterstock
Gebruikers met een Ethereum wallet opgepast! De Pectra upgrade van de Ethereum blockchain bevat een risico waar je niet zo snel aan denkt als gewone gebruiker.
Als je niet oppast, kan je hele wallet leeggehaald worden.
De Ethereum Pectra upgrade
Pectra, dat 7 mei live ging, is groot ethereum nieuws en is dan ook voor het grootste gedeelte met applaus ontvangen, gezien de heftige stijging na de uitrol. Toch is niet alles goud wat er blinkt.
De bedoeling van de upgrade is de schaalbaarheid verhogen en het gebruik van smart contracts uitbreiden. En dat laatste is waar een schoen wringt. Je kunt namelijk een wallet zodanig instellen dat je de controle erover delegeert aan een smart contract door het ondertekenen van een boodschap.
Als deze ondertekening onderschept wordt door fishing of hacking, kunnen ze je wallet hiermee leeghalen, zonder dit on-chain (op de Ethereum blockchain zelf) te hoeven doen. Een private sleutel, die aangeeft dat je deze fondsen ook echt mag uitgeven is dan niet meer nodig.
Het gaat om Ethereum Improvement Proposal 7702, die zogenaamde Externally Owned Accounts (EOA) betreft, oftewel wallets in mensentaal.
Waarschuwingen vanuit de community
Een Solidity smart contract controleur, Arda Usman, zei dat het nu mogelijk is om een wallet leeg te halen met slechts een off-chain “signed message”. Pas dus op met de controle over je wallet te delegeren met een off-chain signed message.
Als je twijfelt, niet doen. Wallets die uitgaan van vroegere aannames kunnen vooral kwetsbaar zijn. Wie een Ethereum wallet heeft, zal zich af moeten vragen of hij wellicht een kwetsbaarheid heeft door wat hij ondertekend heeft.
Ethereum-deskundige Vladimir S. spoorde op X mensen aan om op te passen voor elke vorm van ondertekenen.
On-chain onderzoeker Yahor Rudytsia bij Hacken concludeerde dat een nieuwe vorm van transacties via Pectra willekeurige code kan installeren op een gebruikersaccount, waardoor een wallet in een programmeerbaar smart contract verandert.
Hierdoor kan dit contract transacties uitvoeren in naam van de gebruiker. Daarom is het ook zo gevaarlijk, je komt er pas achter als het kwaad geschied is.
Hoe ging dat voor Pectra?
Eerst moest een gebruiker iedere transactie zelf ondertekenen met de private sleutel, waardoor het zeker was dat de eigenaar had getekend. Dat bewees hij door in het bezit te zijn van de private sleutel. Na Pectra kan dat ook met een signed message.
Ook moesten transacties on-chain getekend worden, dat is nu niet meer nodig.
What’s new?
Noir heeft een wat uitgebreider overzicht gemaakt van de nieuwe functies van Pectra in een post op X.
Gebruikers van hardware wallets moeten zelfs oppassen. Zodra deze een kwaadaardige message ondertekenen kunnen alle fondsen gestolen worden, aldus Ruditsia. Volgens hem moeten gebruikers niets tekenen dat ze niet begrijpen.
Als een message de nonce (Number only used Once) van je account bevat, is het beter om niet te tekenen, tenzij je precies weet wat je doet, volgens Usman. Gewone messages bevatten normaal gesproken de nonce niet.
Het is het beste om een wallet te gebruiken die een tool heeft voor het aangeven van een rode vlag, oftewel een aanduiding dat je iets gevaarlijks doet. Zelfs op Ethereum aangesloten chains kan een ondertekening nog gevaarlijk zijn.
Multi-Signature wallets blijven redelijk veilig, vanwege de eis om meerdere ondertekenaars voor iedere transactie, maar alle andere wallet gebruikers moeten zich goed inlezen op het gebied van ondertekening van alles dat te maken heeft met fondsen uitgeven in je Ethereum wallet.
We houden je in ieder geval op de hoogte van de belangrijkste ontwikkelingen, nu ook via Whatsapp – volg ons net als duizenden anderen.
Memecoin-markt ontploft – en Nederlanders krijgen 1 miljoen PEPE gratis
De interesse in memecoins groeit razendsnel, en PEPE staat daarbij in de spotlights. Nieuwe gebruikers ontvangen deze week 1 miljoen PEPE gratis bij hun eerste aanmelding of aankoop van OKX. Meedoen kost één minuut en is gratis.
Meld je gratis aan en ontvang 1 miljoen PEPE gratis
📈 1 miljoen PEPE pakken
