L’ultimo aggiornamento della rete Ethereum, denominato Pectra<\/strong>, ha introdotto potenti nuove funzionalit\u00e0 per migliorare scalabilit\u00e0<\/strong> e funzionalit\u00e0 dei conti intelligenti<\/strong>. Tuttavia, ha anche aperto un pericoloso vettore d’attacco che consente agli hacker di svuotare i fondi dai portafogli degli utenti utilizzando solo una firma off-chain<\/em>.<\/p>\n Con l’aggiornamento Pectra, attivo dal 7 maggio<\/strong> e avente l’epoch 364032<\/strong>, gli attaccanti possono sfruttare un nuovo tipo di transazione per prendere il controllo degli account di propriet\u00e0 esterna (EOA)<\/strong> senza necessit\u00e0 che l’utente firmi una transazione on-chain. Arda Usman, revisore di contratti intelligenti in Solidity, ha confermato a Cointelegraph che:<\/p>\n “Diventa possibile per un attaccante svuotare i fondi di un EOA utilizzando solo un messaggio firmato off-chain (senza alcuna transazione on-chain firmata direttamente dall’utente).”<\/p>\n<\/blockquote>\n Al centro del rischio c’\u00e8 l’EIP-7702<\/strong>, un componente fondamentale dell’aggiornamento Pectra. Questa Proposta di Miglioramento di Ethereum introduce la transazione SetCode<\/strong> (tipo 0x04), che permette agli utenti di delegare il controllo del proprio portafoglio a un altro contratto semplicemente firmando un messaggio. Se un attaccante riesce a ottenere questa firma \u2014 ad esempio, tramite un sito di phishing \u2014 pu\u00f2 sovrascrivere il codice del portafoglio con un piccolo proxy che inoltra le chiamate al proprio contratto malevolo. Usman ha spiegato:<\/p>\n “Una volta impostato il codice, l’attaccante pu\u00f2 invocare tale codice per trasferire ETH o token dall’account \u2014 tutto senza che l’utente debba firmare una normale transazione di trasferimento.”<\/p>\n<\/blockquote>\n Yehor Rudytsia, ricercatore on-chain presso Hacken, ha sottolineato che questo nuovo tipo di transazione consente di installare codice arbitrario sull’account dell’utente, trasformando essenzialmente il loro portafoglio in un contratto intelligente programmabile<\/strong>. Ha affermato:<\/p>\n “Questo tipo di transazione consente all’utente di impostare codice arbitrario (contratto intelligente) per eseguire operazioni per conto dell’utente.”<\/p>\n<\/blockquote>\n Fino a prima di Pectra, i portafogli non potevano essere modificati senza una transazione firmata direttamente dall’utente. Ora, una semplice firma off-chain pu\u00f2 installare codice che delega il completo controllo a un contratto dell’attaccante. Rudytsia ha spiegato:<\/p>\n “Prima di Pectra, gli utenti dovevano inviare una transazione (non firmare un messaggio) per consentire ai propri fondi di essere spostati. Dopo Pectra, qualsiasi operazione pu\u00f2 essere eseguita dal contratto che l’utente ha approvato tramite SET_CODE.”<\/p>\n<\/blockquote>\n La minaccia \u00e8 reale e immediata. Usman ha avvertito:<\/p>\n “Pectra \u00e8 stata attivata il 7 maggio 2025. Da quel momento, qualsiasi firma di delega valida \u00e8 azionabile.”<\/p>\n<\/blockquote>\n Ha aggiunto che i contratti intelligenti che si basano su presunzioni obsolete, come l’uso di tx.origin<\/strong> o controlli basati solo su EOA, sono particolarmente vulnerabili. Rudytsia ha avvertito che:<\/p>\n “I portafogli sono vulnerabili se non analizzano i tipi di transazione di Ethereum, specialmente il tipo di transazione 0x04.”<\/p>\n<\/blockquote>\n Questa nuova forma di attacco pu\u00f2 essere facilmente eseguita attraverso interazioni off-chain comuni come email di phishing, DApps false o truffe su Discord. Rudytsia ha affermato:<\/p>\n “Riteniamo che sar\u00e0 il vettore di attacco pi\u00f9 popolare riguardo a queste modifiche introdotte da Pectra. Da ora in poi, gli utenti devono convalidare attentamente ci\u00f2 che stanno per firmare.”<\/p>\n<\/blockquote>\n I portafogli hardware non sono pi\u00f9 intrinsecamente pi\u00f9 sicuri. Rudytsia ha spiegato:<\/p>\n “I portafogli hardware non sono pi\u00f9 intrinsecamente pi\u00f9 sicuri e ora sono a rischio pari a quello dei portafogli hot in relazione alla firma di messaggi malevoli.”<\/p>\n<\/blockquote>\n Ci sono modi per rimanere al sicuro, ma richiedono attenzione<\/strong>. Rudytsia ha consigliato:<\/p>\n “Gli utenti non dovrebbero firmare messaggi di cui non comprendono il contenuto… un’attenzione speciale dovrebbe essere prestata ai nuovi formati di firma di delega introdotti dall’EIP-7702.”<\/p>\n<\/blockquote>\n Inoltre, l’EIP-7702 consente firme con chain_id = 0<\/strong>, il che significa che il messaggio firmato pu\u00f2 essere ripetuto su qualsiasi catena compatibile con Ethereum. Usman ha avvertito:<\/p>\n “\u00c8 fondamentale comprendere che pu\u00f2 essere utilizzato ovunque.”<\/p>\n<\/blockquote>\n Mentre i portafogli multisignature<\/strong> rimangono relativamente pi\u00f9 sicuri con questo aggiornamento, grazie alla loro necessit\u00e0 di approvazioni multiple, i portafogli a chiave singola, hardware o meno, devono adottare nuovi strumenti di parsing e segnalazione delle firme per prevenire potenziali sfruttamenti. Accanto all’EIP-7702, Pectra ha incluso anche l’EIP-7251, che ha aumentato il limite di staking dei validatori di Ethereum da 32 a 2.048 ETH<\/strong>, e l’EIP-7691, che migliora la scalabilit\u00e0 di layer-2 aumentando il numero di blob di dati<\/strong> per blocco.<\/p>\n","protected":false},"excerpt":{"rendered":" Introduzione all’aggiornamento Pectra di Ethereum L’ultimo aggiornamento della rete Ethereum, denominato Pectra, ha introdotto potenti nuove funzionalit\u00e0 per migliorare scalabilit\u00e0 e funzionalit\u00e0 dei conti intelligenti. Tuttavia, ha anche aperto un pericoloso vettore d’attacco che consente agli hacker di svuotare i fondi dai portafogli degli utenti utilizzando solo una firma off-chain. Dettagli sull’aggiornamento e sui rischi Con l’aggiornamento Pectra, attivo dal 7 maggio e avente l’epoch 364032, gli attaccanti possono sfruttare un nuovo tipo di transazione per prendere il controllo degli account di propriet\u00e0 esterna (EOA) senza necessit\u00e0 che l’utente firmi una transazione on-chain. Arda Usman, revisore di contratti intelligenti in<\/p>\n","protected":false},"author":3,"featured_media":4292,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,64],"tags":[1916,13,65,1927,319,3741],"class_list":["post-4293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ethereum","category-hack","tag-eip-7702","tag-ethereum","tag-hack","tag-hacken","tag-pectra","tag-yehor-rudytsia"],"yoast_description":"L'aggiornamento Pectra su Ethereum consente agli attaccanti di svuotare i portafogli utilizzando solo firme off-chain, sollevando nuove preoccupazioni di sicurezza per gli utenti.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/4293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=4293"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/4293\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/4292"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=4293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=4293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=4293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Dettagli sull’aggiornamento e sui rischi<\/h2>\n
\n
\n
Le conseguenze per gli utenti<\/h2>\n
\n
\n
Rischi e raccomandazioni<\/h2>\n
\n
\n
\n
Consigli per la sicurezza<\/h2>\n
\n
\n
\n
Conclusione<\/h2>\n