A recente atualização da rede Ethereum, denominada Pectra, introduziu melhorias significativas em escalabilidade e funcionalidade de contas inteligentes. Contudo, especialistas em segurança alertam para uma vulnerabilidade crítica que permite a invasores esvaziar carteiras de usuários utilizando apenas uma assinatura off-chain, sem necessidade de transações on-chain.
EIP-7702: inovação com riscos
No cerne dessa vulnerabilidade está a Proposta de Melhoria do Ethereum EIP-7702, que introduz a transação SetCode (tipo 0x04). Essa funcionalidade permite que usuários deleguem o controle de suas carteiras a contratos inteligentes por meio de uma simples assinatura de mensagem. Embora essa inovação facilite operações como transações em lote e patrocínio de taxas de gás, ela também abre caminho para ataques sofisticados.
Arda Usman, auditor de contratos inteligentes, explicou que, se um invasor obtiver essa assinatura — possivelmente através de sites de phishing —, pode substituir o código da carteira por um proxy malicioso que redireciona chamadas para contratos controlados por ele. Dessa forma, o invasor pode transferir ativos da carteira sem que o usuário autorize uma transação convencional.
Carteiras vulneráveis
Yehor Rudytsia, pesquisador da Hacken, destacou que carteiras que não analisam adequadamente os novos tipos de transação introduzidos pela Pectra estão especialmente em risco. A falta de alertas claros sobre delegações de controle pode levar usuários a autorizar, inadvertidamente, ações maliciosas.
Reações da comunidade
A comunidade Ethereum expressou preocupações nas redes sociais e fóruns especializados. Enquanto alguns desenvolvedores defendem a funcionalidade, ressaltando os benefícios para a usabilidade, outros pedem revisões urgentes para mitigar os riscos associados.
Recomendações de segurança
Especialistas recomendam que usuários:
- Evitem assinar mensagens de fontes não confiáveis.
- Atualizem suas carteiras para versões que reconheçam e alertem sobre transações do tipo SetCode.
- Utilizem autenticação de dois fatores e outras medidas de segurança adicionais.
A Ethereum Foundation ainda não se pronunciou oficialmente sobre a vulnerabilidade. Enquanto isso, a comunidade aguarda por atualizações que possam corrigir ou mitigar esse risco.
