Сегодня блокчейн Ethereum прошёл масштабный апгрейд под названием Pectra — и всего через час после внедрения апдейта в сети зазвучали тревожные голоса. Разработчики обещали «умные» кошельки и новые возможности, а некоторые пользователи уже предупреждают: осторожнее с подписью транзакций.
В центре скандала — EIP-3074. Этот стандарт вводит два новых опкода — AUTH и AUTHCALL, позволяющие передать смарт-контракту право действовать от вашего имени. Звучит удобно, но если контракт окажется вредоносным, он может увести всё — от ETH до NFT. «Поле caller в подписи EIP-3074 критически важно», — отмечают авторы инициативы в посте на Binance, и признают, что пока ни один кошелёк не выдаёт адекватного предупреждения о возможной опасности.
На этом фоне в Telegram-сообществах начали появляться жёсткие советы. «Будьте бдительны при любой подписи… одной лишь подписью можно лишиться всех токенов», — предупредил один из пользователей. Другой добавил: «Достаточно подписать любое сообщение — и кошелёк окажется опустошённым!»
Но это ещё не всё. Обновление Pectra также привнесло EIP-7702, который позволяет разово предоставить смарт-контракту полный доступ к аккаунту. То есть одной подписью злоумышленник может списать всё: эфир, токены и невзаимозаменяемые активы. Раньше такого «привилегированного» доступа не было, и именно это заставляет многих разработчиков и энтузиастов Ethereum насторожиться.
Несмотря на волну паники, реальных случаев краж пока не зафиксировано. Однако опыт крипто-мира доказывает: фишинг и «социальная инженерия» уже успели нажиться на невнимательных пользователях. С появлением новых инструментов риски только растут, поэтому сейчас идеальное время задуматься дважды, прежде чем ставить свою подпись.