“وضع المحفظة الذكية لإيثريوم في حالة ذعر: التحليل الكامل والمفاجآت التي تنتظرك!”

هذه مقتطفات من نشرة 0xResearch الإخبارية. للاطلاع على الإصدارات الكاملة، يمكنك الاشتراك.

هل يشكل EIP-7702 تهديدًا لأمان محافظ الإيثيريوم؟

اتصل بي أحد أصدقائي المطورين في لغة Solidity عبر Signal وهو في حالة قلق. كتب لي: “لا أصدق هذا! كيف سمح مطورو الإيثيريوم بحدوث ذلك؟” كان يشير إلى مقال حديث يُعبر عن القلق بشأن ترقية Pectra في شبكة الإيثيريوم، وتحديدًا EIP-7702، وقدرتها المزعومة على تمكين المخترقين من “تفريغ المحافظ بتوقيع خارج السلسلة فقط”. انتشر المقال على منصة X (تويتر)، لكن ليس بين الحسابات التي أتابعها. يبدو أن بعض الجهات كانت تُذكي المخاوف من أن نوعًا جديدًا من المعاملات يتيح للمهاجمين السيطرة على المحافظ دون معاملة على السلسلة أو حتى علم المستخدم.

لكن، كما هو الحال مع العديد من الأمور في عالم العملات الرقمية، الواقع أكثر تعقيدًا — وأقل إثارة مما يُشاع.

ما هي حقيقة EIP-7702؟

تضمنت ترقية Pectra الأخيرة لشبكة الإيثيريوم، التي تم تفعيلها في 7 مايو، آلية جديدة تسمح للحسابات الخارجية (EOAs) بالعمل مؤقتًا مثل الحسابات الذكية. لكن انتشار هذه الميزة صاحبه ادعاءات مبالغ فيها بأنها تعرض المستخدمين لمخاطر غير مسبوقة.

هذه العناوين مضللة. بينما قد يفتح EIP-7702 بابًا جديدًا لهجمات التصيد، إلا أنه لا يتجاوز توقيعات المحافظ أو يسمح بالوصول غير المصرح به بشكل مباشر. بدلًا من ذلك، يقوم بتوقيع رسالة خاصة تمنح صلاحيات مؤقتة. لكن إذا وقعت هذه الرسالة في الأيدي الخطأ، فقد يتمكن شخص آخر من السيطرة — كما لو أنك سلمت المفتاح الخاص لمحفظتك لجلسة واحدة فقط.

يبدو هذا خطيرًا، وقد يكون كذلك، لكن فقط إذا تم خداع المستخدم لتوقيع تفويض ضار. المشكلة ليست في البروتوكول نفسه، بل في ضرورة تنبه مطوري برامج المحافظ لها.

كيف تعاملت المحافظ مع EIP-7702؟

استجاب باحثو الأمان ومطورو المحافظ بشكل استباقي لـ EIP-7702. على سبيل المثال، أطلقت محافظ مثل Ambire وTrust Wallet تحديثات أو تحذيرات. المحافظ التي لا تدعم EIP-7702 بعد لم تصبح فجأة غير آمنة. لكن التضليل انتشر عبر تغريدات تدعي أن EIP-7702 جعل المحافظ المادية “لم تعد آمنة”.

رفض ويل هينيسي، مدير المنتج في Alchemy، هذه الفكرة بشدة، قائلًا: “هذا الأمر لا يؤثر على المستخدمين العاديين. لا توجد محفظة تدعم توقيع تفويضات عشوائية، ولا يوجد RPC في المحفظة يسمح للتطبيق اللامركزي (dapp) بطلب توقيع تفويض عشوائي.”

هذا صحيح… حاليًا. المحافظ الشهيرة مثل MetaMask وLedger لا توفر طريقة لتوقيع “تفويضات EIP-7702” — وهي إذن لمرة واحدة يوقعه مالك المحفظة.

لكن هذا بدأ يتغير. بعض أدوات تطوير المحافظ المضمنة، بما في ذلك Account Kit من Alchemy، تتضمن بالفعل طريقة تسمى signAuthorization لإنشاء توقيعات EIP-7702. هذه المنتجات قد تتجاوز معيار EIP-1193 تمامًا. ومع بدء دعم المحافظ للحسابات الذكية، من المرجح أن تنتشر هذه الوظيفة.

وأضاف هينيسي: “المقال يتحدث عن توقيع رسالة من موقع ضار، لكن لا يمكن لأي موقع طلب توقيع تفويض EIP-7702 من محفظة خارجية.”

الأسئلة الشائعة

• هل EIP-7702 يسمح للمخترقين بسرقة الأموال دون إذن؟
  لا، EIP-7702 لا يتجاوز التوقيعات الأمنية، لكنه قد يمثل خطرًا إذا وقع المستخدم على تفويض ضار.
• هل المحافظ المادية أصبحت غير آمنة بسبب EIP-7702؟
  لا، المحافظ التي لا تدعم EIP-7702 لا تتأثر، والمحافظ التي تدعمه أضافت إجراءات أمان إضافية.
• كيف يمكن للمستخدمين حماية أنفسهم؟
  يجب تجنب توقيع أي رسائل أو تفويضات غير معروفة، والتحقق دائمًا من تفاصيل المعاملات قبل الموافقة.