イーサリアムのPectraアップグレードは、EIP-7702を通じてオフチェーンウォレットの委任を導入し、攻撃者が署名されたメッセージのみで資金を抜き取ることを可能にします。

イーサリアムの最新ネットワークアップグレードであるPectraは、スケーラビリティとスマートアカウント機能の改善を目指した強力な新機能を導入しましたが、それと同時に、ハッカーがユーザーのウォレットから資金を引き出すためにオフチェーン署名のみを使用できるという危険な新たな攻撃ベクトルを開放しました。

Pectraアップグレードは、5月7日にエポック364032で稼働を開始し、攻撃者は新しいトランザクションタイプを利用して、ユーザーがオンチェーントランザクションに署名することなく、外部所有アカウント（EOA）を制御することができるようになりました。

Solidityスマートコントラクトの監査人であるArda Usmanは、Cointelegraphに対して「攻撃者はオフチェーン署名されたメッセージのみでEOAの資金を引き出すことが可能になった」と確認しました。

このリスクの中心には、Pectraアップグレードの重要なコンポーネントであるEIP-7702があります。このイーサリアム改善提案は、SetCodeトランザクション（タイプ0x04）を導入し、ユーザーがメッセージに署名することで、ウォレットの制御を別のコントラクトに委任できるようにします。

攻撃者がこの署名を取得した場合（例えば、フィッシングサイトを通じて）、ウォレットのコードを小さなプロキシで上書きし、そのプロキシが攻撃者の悪意のあるコントラクトに呼び出しを転送するようになります。

Usmanは「コードが設定されると、攻撃者はそのコードを呼び出して、ユーザーが通常の転送トランザクションに署名することなく、アカウントのETHやトークンを転送することができる」と説明しました。

イーサリアムの最新ネットワークアップグレードであるPectraは、スケーラビリティとスマートアカウント機能の改善を目指した強力な新機能を導入しましたが、それと同時に、ハッカーがユーザーのウォレットから資金を引き出すためにオフチェーン署名のみを使用できるという危険な新たな攻撃ベクトルを開放しました。

Pectraアップグレードは、5月7日にエポック364032で稼働を開始し、攻撃者は新しいトランザクションタイプを利用して、ユーザーがオンチェーントランザクションに署名することなく、外部所有アカウント（EOA）を制御することができるようになりました。

Solidityスマートコントラクトの監査人であるArda Usmanは、Cointelegraphに対して「攻撃者はオフチェーン署名されたメッセージのみでEOAの資金を引き出すことが可能になった」と確認しました。

このリスクの中心には、Pectraアップグレードの重要なコンポーネントであるEIP-7702があります。このイーサリアム改善提案は、SetCodeトランザクション（タイプ0x04）を導入し、ユーザーがメッセージに署名することで、ウォレットの制御を別のコントラクトに委任できるようにします。

攻撃者がこの署名を取得した場合（例えば、フィッシングサイトを通じて）、ウォレットのコードを小さなプロキシで上書きし、そのプロキシが攻撃者の悪意のあるコントラクトに呼び出しを転送するようになります。

Usmanは「コードが設定されると、攻撃者はそのコードを呼び出して、ユーザーが通常の転送トランザクションに署名することなく、アカウントのETHやトークンを転送することができる」と説明しました。