Ethereum Upgrade Pectra: Neue Funktionen und Risiken
Das neueste Netzwerk-Upgrade von Ethereum, Pectra, führt leistungsstarke neue Funktionen ein, die darauf abzielen, die Skalierbarkeit und Funktionalität von Smart Accounts zu verbessern. Allerdings eröffnet es auch einen gefährlichen neuen Angriffsvektor, der Hackern ermöglichen könnte, Gelder aus Benutzer-Wallets allein mit einer Offchain-Unterschrift abzuziehen.
Die Gefahren des neuen Transaktionstyps
Mit dem Pectra-Upgrade, das am 7. Mai live ging, können Angreifer eine neue Transaktionsart ausnutzen, um die Kontrolle über extern verwaltete Konten (EOAs) zu übernehmen, ohne dass der Benutzer eine Onchain-Transaktion signieren muss.
„Es für einen Angreifer möglich wird, die Gelder eines EOA nur mit einer Offchain-signierten Nachricht abzuziehen; es ist keine direkte Onchain-Transaktion erforderlich, die vom Benutzer signiert wurde.“ – Arda Usman, Prüfer von Solidity-Smart Contracts
Im Mittelpunkt dieses Risikos steht EIP-7702, ein Kernbestandteil des Pectra-Upgrades. Dieser Ethereum Improvement Proposal führt die SetCode-Transaktion (Typ 0x04) ein, die es Benutzern ermöglicht, die Kontrolle über ihre Wallet einfach durch das Signieren einer Nachricht an einen anderen Vertrag zu delegieren.
Erlangt ein Angreifer diese Signatur – zum Beispiel über eine Phishing-Seite – kann er den Code der Wallet mit einem kleinen Proxy überschreiben, der Anfragen an seinen bösartigen Vertrag weiterleitet.
„Sobald der Code festgelegt ist, kann der Angreifer diesen Code nutzen, um ETH oder Tokens des Kontos zu transferieren – ohne dass der Benutzer je eine normale Übertragungstransaktion signiert.“ – Arda Usman
Implementierung neuer Transaktionsarten
Wallets können mit Offchain-Signaturen verändert werden. Yehor Rudytsia, Onchain-Forscher bei Hacken, hat darauf hingewiesen, dass diese neue Transaktionsart es erlaubt, beliebigen Code auf dem Konto des Benutzers zu installieren, wodurch die Wallet im Wesentlichen in einen programmierbaren Smart Contract umgewandelt wird.
„Vor Pectra mussten Benutzer Transaktionen senden, um ihre Gelder zu bewegen; nach Pectra kann jede Operation vom Vertrag ausgeführt werden, den der Benutzer über SET_CODE genehmigt hat.“ – Yehor Rudytsia
Die Bedrohung ist real und unmittelbar. Usman warnt: „Pectra wurde am 7. Mai 2025 aktiviert. Ab diesem Zeitpunkt sind alle gültigen Delegationssignaturen umsetzbar.“ Besondere Vorsicht sollte bei neuen Delegationssignaturformaten gelten, die durch EIP-7702 eingeführt wurden und nicht mit bestehenden Standards kompatibel sind.
Risiken für Wallets und ihre Sicherheit
Hardware-Wallets sind nicht mehr von Natur aus sicherer. Rudytsia fügte hinzu, dass sie nun das gleiche Risiko wie Hot-Wallets in Bezug auf das Signieren bösartiger Nachrichten tragen.
„Wenn das passiert, sind alle Gelder in einem Moment weg.“ Es gibt Möglichkeiten, sicher zu bleiben, aber diese erfordern Achtsamkeit. „Benutzer sollten keine Nachrichten signieren, die sie nicht verstehen“, riet Rudytsia.
Schlussfolgerung und Ausblick
Während Multisignatur-Wallets unter diesem Upgrade sicherer bleiben, müssen einzelne Schlüssel-Wallets – sowohl Hardware- als auch Software-Wallets – neue Methoden zur Analyse und Kennzeichnung potenzieller Ausnutzungen implementieren.
„Verstehen Sie, dass es überall verwendet werden kann“, warnt Usman in Bezug auf die neuen Funktionen von EIP-7702. Das Upgrade bietet signifikante Verbesserungen, erfordert jedoch auch eine erhöhte Wachsamkeit von Seiten der Nutzer.
