SlowMist выпустила предупреждение о безопасности о потенциальных новых рисках после обновления Ethereum Pectra

8 мая компания безопасности SlowMist выпустила напоминание о потенциальных новых рисках, связанных с новыми функциями после обновления Ethereum Pectra:

Для пользователей: Защита приватного ключа всегда должна быть в приоритете. Учтите, что код контракта по тому же адресу контракта на разных цепочках может не всегда совпадать. Поймите детали цели делегирования перед тем, как продолжить;

Для поставщиков кошельков: Проверьте, соответствует ли цепочка делегирования текущей сети, и напомните пользователям о рисках, связанных с использованием подписей делегирования с chainID 0, так как такие подписи могут быть воспроизведены на разных цепочках. Отображайте целевой контракт, когда пользователи подписывают делегирование, чтобы снизить риск фишинговых атак;

Для разработчиков: Убедитесь, что проверки разрешений выполняются во время инициализации кошелька (например, проверка адреса подписи через ecrecover), и следуйте формуле пространства имен, предложенной в ERC-7201, чтобы смягчить конфликты хранения. Не предполагайте, что tx.origin всегда является внешне управляемым аккаунтом (EOA); использование msg.sender == tx.origin в качестве средства защиты от атак повторного входа больше не будет эффективным. Убедитесь, что целевой контракт, делегированный пользователем, реализует необходимые функции обратного вызова для обеспечения совместимости с основными токенами.

Для централизованных торговых платформ: Проводите проверки отслеживания депозитов, чтобы снизить риск ложных депозитов из смарт-контрактов.