Ethereumスマートウォレットモードパニック、開梱

先日、私の堅実さの開発者の友人がシグナルに連絡しました。 「私はこれを信じられない」と彼は書いた。 「イーサリアム開発者はこれをどのようにして起こさせましたか？」

彼は、Ethereumのペクトラのアップグレード、特にEIP-7702を心配している最近の記事と、ハッカーが「ただのオフチェーンの署名で財布を排出する」能力を想定していることに言及していました。この作品は、X/Twitterでバンディングされているようですが、私がフォローしている人ではありません。いくつかのサークルでは、新しいトランザクションタイプが静かに攻撃者がオンチャイントランザクションやユーザーの知識なしで財布の制御を奪取できるようになったという恐怖が明らかに驚いていました。

しかし、暗号の多くのことのように、現実はより微妙であり、劇的ではありません。

5月7日にアクティブ化されたEthereumの最近のペクトラアップグレードは、外部所有のアカウント（EOA）が一時的にスマートアカウントのように行動できるようにする強力なメカニズムを導入しました。しかし、ロールアウトには、ユーザーがいくつかの非常識な新しいリスクにさらされるという息をのむような主張が伴います。

それらの見出しは誤解を招くものです。 EIP-7702はフィッシングのために新しい攻撃面を導入することができますが、ウォレットの署名をバイパスしたり、許可されていないアクセス自体を許可したりしません。代わりに、一時的な超大国に対する特別なメッセージに署名します。しかし、そのメッセージが間違った手に落ちた場合、他の誰かがコントロールすることができます – まるで1回のセッションのためにあなたの財布の秘密鍵を渡すかのように。

危険なように聞こえますが、それはそうである可能性がありますが、ユーザーが悪意のある委任に署名するようにだまされた場合のみです。それはプロトコルの失敗ではなく、ウォレットソフトウェア出版社が考慮すべき何かです。

セキュリティ研究者とウォレットは、7702に積極的に応答しました。たとえば、機能のサポートとともに、Amavire、Trust Walletがリリースしたパッチまたは警告をリリースしました。まだ7702をサポートしていないウォレットは、突然不安にされていません。しかし、EIP-7702がハードウェアウォレットを「もはや安全ではない」と主張するウイルスのツイートとの混乱が広がっています。

AlchemyのプロダクトマネージャーであるWill Hennessyは、その物語を強く押し戻しました。

「エンドユーザーにとっては問題ではない」と彼はBlockWorksに語った。 「arbitrary意的な代表団の署名をサポートするウォレットはありません。また、DAPPが任意の代表団の署名を要求するためのウォレットRPCもありません。」

彼は正しい…今日。メタマスクやレジャーなどの主流のウォレットは、EIP-7702認証タプルに署名する方法を公開しません。これは、ウォレットの所有者が署名した1回限りの許可スリップの用語です。

しかし、それは変化し始めています。 Alchemyの独自のアカウントキットを含む埋め込みウォレットSDKは、有効なEIP-7702署名を作成するSignAuthorizationというメソッドが既に含まれています。これらの製品は、独自のプロバイダーをバンドルすることにより、EIP-1193標準を完全にバイパスできます。ウォレットがスマートアカウントをネイティブにサポートし始めると、この機能が広がる可能性があります。

「この記事では、悪意のあるウェブサイトからのウォレットでメッセージに署名することについて説明しています」とヘネシーは付け加えました。