Actualización de Ethereum: Pectra
La última actualización de la red Ethereum, denominada Pectra, ha introducido potentes características destinadas a mejorar la escalabilidad y la funcionalidad de las cuentas inteligentes. Sin embargo, también ha abierto un vector de ataque alarmante que podría permitir a los hackers drenar los fondos de las carteras de los usuarios utilizando solo una firma fuera de cadena.
El Vector de Ataque
A partir de la activación de Pectra el 7 de mayo durante la época 364032, los atacantes pueden aprovechar un nuevo tipo de transacción para tomar el control de cuentas de propiedad externa (EOAs) sin necesidad de que el usuario firme una transacción en cadena. Arda Usman, auditor de contratos inteligentes en Solidity, confirmó a Cointelegraph que
«un atacante puede drenar los fondos de un EOA utilizando únicamente un mensaje firmado fuera de cadena, sin ninguna transacción en cadena firmada directamente por el usuario.»
EIP-7702 y su Riesgo
El riesgo principal proviene del EIP-7702, un componente crucial de la actualización de Pectra. Esta Propuesta de Mejora de Ethereum introduce la transacción SetCode (tipo 0x04), que permite a los usuarios delegar el control de su cartera a otro contrato simplemente firmando un mensaje. Si un atacante obtiene esa firma —por ejemplo, a través de un sito de phishing— puede sobrescribir el código de la cartera con un pequeño proxy que reenvía llamadas a su contrato malicioso.
«Una vez establecido este código,»
explicó Usman,
«el atacante puede invocar dicho código para transferir ETH o tokens de la cuenta, sin que el usuario firme jamás una transacción de transferencia normal.»
Implicaciones de Seguridad
Yehor Rudytsia, investigador en ciberseguridad de Hacken, observó que este nuevo tipo de transacción permite la instalación de código arbitrario en la cuenta del usuario, transformando, de esta manera, su cartera en un contrato inteligente programable.
«Este tipo de transacción permite al usuario establecer código arbitrario (contrato inteligente) para ejecutar operaciones en su nombre,»
dijo Rudytsia. Antes de Pectra, las carteras no podían ser modificadas sin una transacción firmada directamente por el usuario. Ahora, una simple firma fuera de cadena puede instalar código que otorga el control total a un contrato de un atacante.
Conciencia y Precauciones
La amenaza es real e inminente.
«Pectra se activó el 7 de mayo de 2025. Desde entonces, cualquier firma de delegación válida puede ser accionada,»
advirtió Usman. Las carteras e interfaces que no logran analizar o representar adecuadamente estos nuevos tipos de transacciones se encuentran en un riesgo considerable. Rudytsia advirtió que
«las carteras son vulnerables si no analizan los tipos de transacción de Ethereum,»
específicamente el tipo de transacción 0x04. Es esencial que los usuarios validen cuidadosamente lo que firman.
Riesgos para las Carteras de Hardware
Es importante destacar que, tras esta actualización, las carteras de hardware ya no son intrínsecamente más seguras. Rudytsia explicó que a partir de ahora estas carteras enfrentan el mismo riesgo que las carteras calientes en cuanto a la firma de mensajes maliciosos.
«De ocurrir, todos los fondos podrían perderse en un instante.»
Los usuarios no deben firmar mensajes que no comprendan, y los desarrolladores de carteras deben proporcionar advertencias claras cuando se solicite a los usuarios que firmen un mensaje de delegación.
Consejos sobre Firmas de Delegación
Particularmente se debe tener cuidado con los nuevos formatos de firma de delegación introducidos por el EIP-7702, que no son compatibles con los estándares existentes de EIP-191 o EIP-712. Estos mensajes a menudo aparecen como simples hashes de 32 bytes y pueden eludir las advertencias convencionales de las carteras.
«Si un mensaje incluye el nonce de tu cuenta, probablemente afectará directamente tu cuenta,»
advirtió Usman. El EIP-7702 también permite firmas con chain_id = 0, lo que significa que el mensaje firmado puede ser reproducido en cualquier cadena compatible con Ethereum.
Conclusión
Si bien las carteras multifactor siguen siendo más seguras bajo esta actualización, las carteras de clave única —sean de hardware o no— deben adoptar nuevas herramientas de análisis de firmas y mecanismos de alerta para prevenir posibles explotaciones. Junto con el EIP-7702, Pectra también incluyó el EIP-7251, que elevó el límite de participación de los validadores de Ethereum de 32 a 2,048 ETH, y el EIP-7691, que incrementó el número de blobs de datos por bloque para mejorar la escalabilidad de la capa 2.
