Foto: Trismegist san/Shutterstock
Usuarios con una wallet de Ethereum, ¡cuidado! La actualización Pectra de la blockchain de Ethereum contiene un riesgo en el que no piensas fácilmente como usuario ordinario.
Si no tienes cuidado, toda tu cartera podría ser vaciada.
La actualización Pectra de Ethereum
Pectra, que se puso en marcha el 7 de mayo, es una gran noticia para Ethereum y, por tanto, ha sido recibida con aplausos en su mayor parte, dado el auge que siguió a su lanzamiento. Sin embargo, no es oro todo lo que reluce.
El objetivo de la actualización es aumentar la escalabilidad y ampliar el uso de los contratos inteligentes. Y esto último es donde aprieta el zapato. A saber, puedes configurar un monedero de forma que delegues el control sobre él a un contrato inteligente mediante la firma de un mensaje.
Si esta firma es interceptada por la pesca o el pirateo, pueden vaciar tu monedero con esto, sin tener que hacerlo on-chain (en la propia blockchain de Ethereum). Una clave privada, indicando que usted realmente puede gastar estos fondos, entonces ya no es necesaria.
Se trata de la Propuesta de Mejora 7702 de Ethereum, que afecta a las llamadas Cuentas de Propiedad Externa (EOA), o monederos en lenguaje humano.
Advertencias de la comunidad
Un controlador de contratos inteligentes Solidity, Arda Usman, dijo que ahora es posible vaciar una cartera con sólo un «mensaje firmado» fuera de la cadena. Así que cuidado con delegar el control de tu cartera con un mensaje firmado fuera de la cadena.
En caso de duda, no lo hagas. Los monederos que se basan en suposiciones pasadas pueden ser especialmente vulnerables. Quienes tengan monederos de Ethereum tendrán que preguntarse si podrían tener una vulnerabilidad debido a lo que firmaron.
El experto en Ethereum Vladimir S. instó en X a la gente a desconfiar de cualquier forma de firma.
El investigador de On-chain Yahor Rudytsia en Hacking concluyó que una nueva forma de transacciones a través de Pectra puede instalar código arbitrario en la cuenta de un usuario, convirtiendo una cartera en un contrato inteligente programable.
Esto permite a este contrato realizar transacciones en nombre del usuario. Por eso es tan peligroso: sólo se descubre cuando el daño ya está hecho.
¿Cómo funcionaba esto en Pectra?
En primer lugar, un usuario tenía que firmar él mismo cada transacción con la clave privada, asegurándose de que el propietario había firmado. Lo demostraba estando en posesión de la clave privada. Después de Pectra, se puede hacer lo mismo con un mensaje firmado.
Además, las transacciones debían firmarse en la cadena, lo que ya no es necesario.
¿Cuáles son las novedades?
Noir proporcionó una visión algo más completa de las nuevas características de Pectra en una publicación en X.
Los usuarios de monederos de hardware también deben tener cuidado. Una vez que firman un mensaje malicioso, todos los fondos pueden ser robados, dijo Ruditsia. Según él, los usuarios no deben firmar nada que no entiendan.
Si un mensaje contiene el nonce (número que sólo se utiliza una vez) de su cuenta, es mejor no firmar a menos que sepa exactamente lo que está haciendo, según Usman. Los mensajes ordinarios no suelen contener el nonce.
Es mejor utilizar un monedero que tenga una herramienta para indicar una bandera roja, o una indicación de que se está haciendo algo peligroso. Incluso en las cadenas conectadas a Ethereum, una firma puede seguir siendo peligrosa.
Los monederos multifirma siguen siendo razonablemente seguros, debido al requisito de tener varios firmantes para cada transacción, pero todos los demás usuarios de monederos deberían informarse sobre la firma de cualquier cosa relacionada con el gasto de fondos en su monedero Ethereum.
📱 ¿Quieres las últimas noticias cripto al instante? Síguenos en Twitter/X
