2025年5月7日に稼働を開始したイーサリアムの「Pectraアップグレード」により、スマートアカウント機能の向上とスケーラビリティ強化が実現された一方で、深刻なセキュリティリスクも浮き彫りとなっている。
今回問題視されているのは、EIP-7702により導入されたトランザクションタイプ 0x04(SetCode)である。これは、ユーザーが単なるオフチェーン署名を行うだけで、ウォレットのコードを別のコントラクトに委任できてしまう機能を持つ。攻撃者がこの署名をフィッシング等で取得した場合、ウォレットのコードを悪意あるプロキシに書き換え、ユーザーが意図せず資金を失う可能性がある。
セキュリティ監査人のArda Usman氏は、「ユーザーが通常の送金トランザクションを承認していなくても、資金を盗むことが可能」と指摘。さらに、EIP-7702によってハードウェアウォレットでさえも安全ではなくなったとされ、全てのウォレットに署名解析と警告機能の導入が急務となっている。
このリスクはすでに現実のものとなっており、ウォレットの開発者や利用者にとって、従来のセキュリティ認識を一変させる出来事となった。
※本記事は、以下の記事をもとに翻訳・要約しています。
Cointelegraph「Pectra lets hackers drain wallets with just an offchain signature」
コメント
イーサリアムの最新アップグレード「Pectra」によって、利便性の向上と引き換えに新たな攻撃リスクが生まれました。オフチェーン署名だけでウォレットが乗っ取られる可能性があるため、今後は「内容を理解できない署名は絶対にしない」ことが最大の防御となります。特にハードウェアウォレット利用者も油断は禁物です。ウォレットアプリが表示する警告や署名内容を慎重に確認し、少しでも不審な操作には決して応じないようにしましょう。開発者側にも、ユーザーを守るためのインターフェース改善が求められています。