एथेरियम के पेक्ट्रा अपग्रेड का फायदा बॉट्स द्वारा उठाया जा रहा है, जो वॉलेट्स को खाली कर रहे हैं: रिपोर्ट

Ethereumहाल ही में “पेक्ट्रा” अपग्रेड उपयोगकर्ताओं के नेटवर्क के साथ इंटरैक्ट करने के तरीके को बेहतर बनाने के लिए कई सुविधाएँ पेश की गईं। सबसे चर्चित बदलावों में से एक था EIP-7702, एथेरियम के सह-संस्थापक द्वारा समर्थित एक प्रस्ताव विटालिक बटरिन. 

यह सुविधा वॉलेट्स को अस्थायी रूप से स्मार्ट कॉन्ट्रैक्ट्स की तरह कार्य करने की अनुमति देती है, जिससे बैच लेनदेन, गैस प्रायोजन, सामाजिक प्रमाणीकरण और व्यय सीमा सक्षम होती है।

हालांकि, के अनुसार विंटरम्यूटएक प्रमुख क्रिप्टो ट्रेडिंग फर्म, इस नए अपग्रेड ने एक खतरनाक लहर का द्वार खोल दिया है स्वचालित स्वीपर हमले, अनजान उपयोगकर्ताओं की जेबें खाली कर रहे हैं। और ये हमले तेज़ी से फैल रहे हैं।

अच्छे इरादों वाला एक फीचर

EIP-7702 का उद्देश्य एथेरियम को अधिक उपयोगकर्ता-अनुकूल बनाना था।

उपयोगकर्ता एक साथ कई कार्यों को संभालने के लिए केवल एक लेनदेन पर हस्ताक्षर कर सकते थे—जो पहले केवल स्मार्ट कॉन्ट्रैक्ट के माध्यम से ही संभव था। उदाहरण के लिए, कोई उपयोगकर्ता किसी टोकन को स्वीकृत कर सकता था, उसे स्वैप कर सकता था, और आउटपुट को एक ही बार में दूसरे वॉलेट में भेज सकता था।

इसने जीवन की गुणवत्ता में सुधार की भी पेशकश की जैसे किसी और के लिए गैस प्रायोजित करना, या का उपयोग कर सामाजिक लॉगिन सिस्टम वॉलेट्स को प्रमाणित करने के लिए, मुख्यधारा के उपयोगकर्ताओं के लिए बीज वाक्यांशों के साथ कुश्ती किए बिना एथेरियम के साथ बातचीत करना आसान हो जाता है।

लेकिन जिसे उपयोगकर्ताओं की मदद के लिए डिज़ाइन किया गया था, उसे बुरे लोगों ने जल्दी ही हथियार में बदल दिया।

क्राइमएन्जॉयर का उदय: कॉपी-पेस्ट हमले का एक वेक्टर

विंटरम्यूट ने हाल ही में एक विश्लेषण प्रकाशित किया है जिसमें दिखाया गया है कि EIP-7702 का उपयोग बॉट्स द्वारा किस प्रकार किया जा रहा है। स्वीपर हमले.

पसंद का टूल? एक व्यापक रूप से दोहराया गया अनुबंध जिसका उपनाम विंटरम्यूट है “क्राइमएन्जॉयर।”

यहाँ है कि यह कैसे काम करता है:

आशाजनक परियोजनाओं की खोज करें...

आशाजनक परियोजनाएं...

(विज्ञापन)

लेख जारी है...

अपराधी सरल बाइटकोड वाले दुर्भावनापूर्ण अनुबंधों को हज़ारों उदाहरणों में कॉपी-पेस्ट करके लागू करते हैं। ये अनुबंध इस उद्देश्य से डिज़ाइन किए गए हैं कि स्वचालित रूप से धनराशि स्वीप करें उन वॉलेट्स से जिनकी निजी कुंजियों से छेड़छाड़ की गई है। जैसे ही ये वॉलेट ETH प्राप्त करते हैं, कॉन्ट्रैक्ट तुरंत हमलावर के पते पर धनराशि भेज देते हैं।

विंटरम्यूट का शोध, एक के माध्यम से उपलब्ध कराया गया टिब्बा डैशबोर्ड, दिखाता है EIP-7702 प्रतिनिधिमंडलों में से 97% से अधिक इन समान अनुबंधों से जुड़े हुए हैं।

"क्राइमएन्जॉयर अनुबंध छोटा, सरल और व्यापक रूप से पुन: उपयोग किया जाने वाला है," विंटरम्यूट ने एक्स पर लिखा। "यह एक कॉपी-पेस्ट किया गया बाइटकोड अब सभी EIP-7702 डेलिगेशन के बहुमत के लिए ज़िम्मेदार है। यह एक ही समय में मज़ेदार, निराशाजनक और आकर्षक है।"

यह सिर्फ एक स्मार्ट अनुबंध समस्या नहीं है

जबकि EIP-7702 वाहन है, मूल कारण निजी कुंजियों का समझौता होना है.

विंटरम्यूट और अन्य सुरक्षा विशेषज्ञ इस बात पर ज़ोर देते हैं कि EIP-7702 स्वाभाविक रूप से खतरनाक नहीं है। बल्कि, यह वॉलेट में सेंध लगने पर धन की चोरी को आसान और तेज़ बना देता है।

सुरक्षा विशेषज्ञ के रूप में टेलर मोनाहन नोट:

"यह वास्तव में 7702 का मुद्दा नहीं है। यह वही समस्या है जो क्रिप्टो में पहले दिन से ही रही है: अंतिम उपयोगकर्ताओं को अपनी निजी कुंजियों को सुरक्षित रखने में संघर्ष करना पड़ता है।"

EIP-7702 ने कथित तौर पर इसे और अधिक बेहतर बना दिया कुशल हमलावरों के लिए कमजोर वॉलेट्स को साफ करना।

वास्तविक नुकसान: $146,550 का उदाहरण

23 मई को, एक उपयोगकर्ता ने अनजाने में EIP-7702 का उपयोग करके कई दुर्भावनापूर्ण बैच लेनदेन पर हस्ताक्षर कर दिए। नतीजा? का नुकसान $146,550ब्लॉकचेन सुरक्षा फर्म के अनुसार स्कैम स्निफर.

ये दुर्भावनापूर्ण लेनदेन निम्नलिखित से जुड़े थे इन्फर्नो ड्रेनर, एक प्रसिद्ध घोटाला-सेवा प्रदाता जो वर्षों से क्रिप्टो स्पेस में सक्रिय है।

एथेरियम के भविष्य के लिए एक असुविधाजनक सच्चाई

विंटरम्यूट ने दुर्भावनापूर्ण बाइटकोड को रिवर्स-इंजीनियरिंग करके चीजों को एक कदम आगे बढ़ाया मानव-पठनीय सॉलिडिटी कोडइससे दुर्भावनापूर्ण अनुबंधों की पहचान और टैगिंग आसान हो गई। उन्होंने जागरूकता बढ़ाने के लिए सार्वजनिक रूप से कोड का सत्यापन भी किया।

कोड में स्वयं सादे पाठ में एक चेतावनी शामिल है:

"इस कॉन्ट्रैक्ट का इस्तेमाल बदमाश सभी आने वाले ETH को अपने आप मिटाने के लिए करते हैं। कोई भी ETH न भेजें।"

लेकिन चेतावनी के बावजूद, अनुबंध प्रभावी बना हुआ है। जो उपयोगकर्ता यह नहीं समझते कि वे क्या हस्ताक्षर कर रहे हैं, वे गंभीर जोखिम में हैं, खासकर जब वे अपरिचित dApps या ऐसे टूल का उपयोग कर रहे हों जो उन्हें EIP-7702 के तहत नियंत्रण सौंपने के लिए प्रेरित करते हैं।

एक अन्य सुरक्षा फर्म, धीमी गति से, की पुष्टि की बढ़ते खतरे के बारे में। फर्म ने आग्रह किया वॉलेट सेवा प्रदाताओं शीघ्रता से अनुकूलन और समर्थन के लिए EIP-7702 प्रतिनिधिमंडल चेतावनियाँ.

स्लोमिस्ट ने कहा, "वॉलेट सेवा प्रदाताओं को EIP-7702 लेनदेन का शीघ्रता से समर्थन करना चाहिए तथा जब उपयोगकर्ता प्रतिनिधिमंडल पर हस्ताक्षर करते हैं, तो फ़िशिंग हमलों के जोखिम को कम करने के लिए लक्ष्य अनुबंध को प्रमुखता से प्रदर्शित करना चाहिए।"

पेक्ट्रा की अन्य विशेषताएं अब फीकी पड़ गईं

पेक्ट्रा अपग्रेड, जो 7 मई को लाइव हुआ युग 364032इसमें दो अन्य प्रमुख परिवर्तन भी शामिल हैं:

• EIP-7251: सत्यापनकर्ता स्टेकिंग कैप को से बढ़ा दिया गया 32 ETH से 2,048 ETHसंस्थागत सत्यापनकर्ताओं की दक्षता में सुधार।
• हुड के तहत प्रदर्शन और मापनीयता में सुधार।

लेकिन EIP-7702 के दुरुपयोग के कारण, ये अन्य उन्नयन काफी हद तक प्रभावित हुए हैं।

आज तक, से भी अधिक 12,329 EIP-7702 लेनदेन इनमें से अधिकांश को स्वीपर बॉट्स द्वारा दुर्व्यवहार किये गये प्रतिनिधिमंडलों से जोड़ा गया है।

तो, समाधान क्या है?

जबकि EIP-7702 स्वयं में चुनें, और बुनियादी लेनदेन के लिए अनिवार्य नहीं है, की आवश्यकता शिक्षा, पारदर्शिता और वॉलेट-स्तरीय सुरक्षा सुधार पहले से कहीं अधिक दबावपूर्ण है।

उपयोगकर्ताओं को चाहिए:

• गंतव्य अनुबंध को समझे बिना कभी भी अपरिचित लेनदेन पर हस्ताक्षर न करें।
• ऐसे वॉलेट का उपयोग करें जो पुष्टि से पहले पूर्ण अनुबंध जानकारी प्रदर्शित करते हैं।
• किसी भी प्रत्यायोजन अनुरोध को अत्यधिक सावधानी से लें, विशेषकर जब वह कई चरणों के साथ हो।

डेवलपर्स के लिए, विंटरम्यूट सुझाव देता है सार्वजनिक रूप से अनुबंधों का सत्यापन करना और खतरनाक पैटर्न का पता लगाना आसान बनाना। कंपनी का मानना ​​है कि दुर्भावनापूर्ण गतिविधि को ज़्यादा आक्रामक तरीके से टैग करने से नए उपयोगकर्ताओं की सुरक्षा हो सकती है और फ़िशिंग का जोखिम कम हो सकता है।