Foto: Trismegist san/Shutterstock
Achtung für alle Nutzer mit einer Ethereum-Wallet! Das Pectra-Upgrade der Ethereum-Blockchain bringt ein Risiko mit sich, an das man als gewöhnlicher Nutzer nicht sofort denkt.
Wenn man nicht aufpasst, kann die gesamte Wallet geleert werden.
Das Ethereum-Pectra-Upgrade
Pectra, das am 7. Mai live ging, gilt als großes Ethereum-Ereignis und wurde überwiegend mit Begeisterung aufgenommen – nicht zuletzt wegen des starken Kursanstiegs nach dem Rollout. Doch nicht alles ist so glänzend, wie es scheint.
Ziel des Upgrades ist es, die Skalierbarkeit zu verbessern und die Nutzung von Smart Contracts zu erweitern. Und genau da liegt das Problem: Es ist nun möglich, eine Wallet so zu konfigurieren, dass die Kontrolle darüber an einen Smart Contract delegiert wird – einfach durch das Signieren einer Nachricht.
Wird diese Signatur durch Phishing oder Hacking abgefangen, kann damit die Wallet geleert werden – und zwar ohne dass dies on-chain (also auf der Ethereum-Blockchain selbst) erfolgen muss. Ein privater Schlüssel, der eigentlich zur Freigabe der Mittel erforderlich ist, wird dadurch überflüssig.
Konkret geht es um Ethereum Improvement Proposal 7702, der sogenannte Externally Owned Accounts (EOA), also herkömmliche Wallets, betrifft.
Warnungen aus der Community
Ein Prüfer von Solidity-Smart-Contracts, Arda Usman, erklärte, dass es jetzt möglich sei, eine Wallet nur mit einer off-chain „signed message“ zu leeren. Man sollte daher sehr vorsichtig sein, wenn man die Kontrolle über seine Wallet per off-chain Signatur überträgt.
Wenn Zweifel bestehen: lieber nicht unterschreiben. Besonders ältere Wallets, die auf bisherigen Sicherheitsannahmen basieren, könnten anfällig sein. Wer eine Ethereum-Wallet besitzt, sollte hinterfragen, ob er durch frühere Signaturen möglicherweise eine Schwachstelle geschaffen hat.
Der Ethereum-Experte Vladimir S. warnte auf X davor, jegliche Art von Nachricht zu signieren.
Der On-Chain-Analyst Yahor Rudytsia vom Unternehmen Hacken stellte fest, dass durch eine neue Form von Transaktionen im Pectra-Upgrade beliebiger Code in ein Benutzerkonto installiert werden kann. Damit wird eine Wallet zu einem programmierbaren Smart Contract.
Ein solches Smart Contract kann dann im Namen des Nutzers Transaktionen durchführen – ein gefährliches Szenario, das oft erst erkannt wird, wenn es zu spät ist.
Wie war es vor Pectra?
Zuvor musste jede Transaktion mit dem privaten Schlüssel signiert werden. Dadurch war sichergestellt, dass nur der rechtmäßige Inhaber der Wallet Zugriff auf die Mittel hatte. Nach Pectra kann diese Signatur durch eine einfache Nachricht ersetzt werden.
Auch mussten Transaktionen vorher immer on-chain signiert werden – das ist nun nicht mehr erforderlich.
Was ist neu?
Noir hat auf X einen ausführlicheren Überblick über die neuen Funktionen von Pectra veröffentlicht.
Selbst Nutzer von Hardware-Wallets müssen nun aufpassen: Wenn sie eine bösartige Nachricht signieren, können alle Mittel gestohlen werden, so Rudytsia. Er warnt: Nutzer sollten nichts signieren, das sie nicht vollständig verstehen.
Enthält eine Nachricht die sogenannte Nonce (eine einmal verwendbare Nummer), ist es laut Usman besser, nicht zu unterschreiben – es sei denn, man weiß genau, was man tut. Normale Nachrichten enthalten diese Nonce üblicherweise nicht.
Am besten ist es, eine Wallet zu verwenden, die eine Sicherheitswarnung anzeigen kann – also ein Tool, das auf Risiken bei der Signatur hinweist. Selbst auf Ethereum-kompatiblen Chains kann eine unbedachte Signatur gefährlich sein.
Multi-Signature-Wallets bleiben relativ sicher, da jede Transaktion mehrere Unterzeichner benötigt. Alle anderen Wallet-Nutzer sollten sich jedoch intensiv mit dem Thema Signaturen und der Freigabe von Geldern aus ihrer Ethereum-Wallet auseinandersetzen.
Starte jetzt bei OKX und sichere dir 20 € in Bitcoin
Registriere dich in wenigen Minuten, entdecke über 300 Kryptowährungen und profitiere von niedrigen Handelsgebühren sowie einer benutzerfreundlichen App. Der Bonus wird direkt nach deiner ersten Einzahlung gutgeschrieben – perfekt für deinen Einstieg in die Welt von Krypto. Jetzt loslegen und Bitcoin verdienen.
Anmelden & 20 € bitcoin abholen
