Ethereum đang phải trả giá cho việc đơn giản hoá hậu Pectra – Chi tiết

Ethereum (ETH) là nền tảng blockchain nổi tiếng với khả năng xây dựng hợp đồng thông minh và ứng dụng phi tập trung (DApps). Để tiếp tục cải thiện trải nghiệm người dùng và bảo mật, Ethereum đã giới thiệu bản nâng cấp mới nhất mang tên Pectra, với một tính năng đáng chú ý là EIP-7702. Tuy nhiên, chỉ vài tuần sau khi bản nâng cấp này được triển khai, một vấn đề nghiêm trọng đã xuất hiện, khiến các chuyên gia bảo mật phải đặt câu hỏi về sự cân bằng giữa khả năng sử dụng và bảo mật của Ethereum.

EIP-7702: Tăng cường tính tiện lợi cho ví Ethereum

Bản nâng cấp Pectra giới thiệu EIP-7702, một tính năng giúp ví Ethereum trở nên thông minh hơn và dễ sử dụng hơn, đồng thời nâng cao khả năng bảo mật. Được đề xuất bởi Vitalik Buterin, nhà sáng lập Ethereum, EIP-7702 cho phép ví tạm thời hoạt động như một hợp đồng thông minh. Điều này mở ra một loạt các tiện ích, bao gồm:

• Trừu tượng hóa tài khoản: Người dùng có thể thực hiện giao dịch nhóm, tài trợ phí gas và kiểm soát chi tiêu một cách chặt chẽ hơn.
• Quản lý gas hiệu quả hơn: Tính năng này giúp giảm bớt các thao tác phức tạp và giảm chi phí giao dịch cho người dùng.

Mặc dù những cải tiến này mang lại trải nghiệm người dùng tốt hơn và giúp bảo mật ví trở nên mạnh mẽ hơn, EIP-7702 lại vô tình tạo ra một điểm yếu cho các kẻ tấn công khai thác.

Tấn công tự động với EIP-7702: Cái giá của việc đơn giản hóa?

Vài tuần sau khi Pectra ra mắt, các cuộc tấn công tự động đã xuất hiện và lợi dụng tính năng EIP-7702. Những kẻ tấn công đã khai thác một lỗ hổng trong việc sử dụng lệnh ủy quyền EIP-7702, dẫn đến việc rút tiền từ các ví bị xâm phạm mà không cần sự can thiệp của người dùng.

Một báo cáo từ Wintermute cho thấy hơn 80% các lệnh ủy quyền EIP-7702 đang được sử dụng bởi một hợp đồng độc hại duy nhất có tên là CrimeEnjoyor. Đây là một mã hợp đồng ngắn, có khả năng sao chép và dán, giúp kẻ tấn công thực hiện các giao dịch nhanh chóng và dễ dàng. Khi đã chiếm quyền truy cập vào ví người dùng (thường thông qua các hình thức lừa đảo), kẻ tấn công có thể rút tiền ngay lập tức về ví của mình.

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

Một sự cố điển hình được ghi nhận bởi công ty bảo mật blockchain Scam Sniffer là vụ việc một người dùng mất gần 150.000 đô la trong một giao dịch duy nhất. Đây không phải là trường hợp cá biệt, vì hàng nghìn giao dịch tương tự đã được ghi nhận, đặc biệt liên quan đến dịch vụ Inferno Drainer – một công cụ nổi tiếng trong giới tấn công tự động.

Mặc dù EIP-7702 đã bị chỉ trích vì tạo ra một sơ hở lớn trong bảo mật, vấn đề thực sự không phải ở tính năng này. Vấn đề cốt lõi nằm ở sự rò rỉ hoặc đánh cắp khóa riêng tư của người dùng. EIP-7702 chỉ giúp kẻ tấn công thực hiện các cuộc tấn công này một cách nhanh chóng và ít tốn kém hơn.

Các công ty bảo mật như SlowMist đã nhấn mạnh rằng việc rò rỉ khóa riêng tư là nguyên nhân chính dẫn đến các vụ tấn công. Chính vì vậy, các nhà cung cấp ví cần cải thiện tính năng hiển thị các tương tác hợp đồng và tăng cường các lớp bảo vệ người dùng. Nếu không cải thiện những yếu tố cơ bản này, các tính năng bảo mật nâng cao sẽ không thể phát huy hiệu quả.

Tương lai của Ethereum

Khi Ethereum tiếp tục phát triển và giới thiệu thêm các tính năng mới, một trong những ưu tiên quan trọng là thiết kế ví thông minh hơn, với các cảnh báo ký hợp đồng rõ ràng và các biện pháp bảo mật nâng cao. Những tính năng tiên tiến như EIP-7702 có thể làm tăng khả năng sử dụng và trải nghiệm người dùng, nhưng nếu các lớp bảo mật cơ bản không được duy trì, chúng có thể phản tác dụng.

Một trong những yếu tố quan trọng trong việc bảo mật Ethereum chính là giáo dục người dùng. Các nhà phát triển và tổ chức bảo mật cần chú trọng hơn đến việc hướng dẫn người dùng cách bảo vệ khóa riêng tư của mình, đồng thời cảnh báo họ về các mối nguy cơ từ lừa đảo và tấn công tự động.

Bản nâng cấp Pectra của Ethereum với EIP-7702 hứa hẹn mang lại những cải tiến đáng kể cho người dùng, nhưng đồng thời cũng mở ra những nguy cơ không thể xem nhẹ. Dù tính năng này hỗ trợ việc quản lý gas và giao dịch hiệu quả hơn, nhưng nếu các cơ chế bảo mật cơ bản không được cải thiện, các kẻ tấn công sẽ tiếp tục lợi dụng những lỗ hổng này để thực hiện các cuộc tấn công tự động.

Điều quan trọng là Ethereum phải tiếp tục phát triển không chỉ về tính năng mà còn về bảo mật cơ bản. Tính năng tiên tiến có thể giúp người dùng dễ dàng hơn trong việc sử dụng blockchain, nhưng nếu không có một nền tảng bảo mật vững chắc, những cải tiến này có thể trở thành cơ hội cho kẻ xấu thay vì người dùng chân chính.

• Nâng cấp lớn thành công nhưng hoạt động người dùng Ethereum vẫn sụt giảm 
• Pectra vừa hoàn tất, đề xuất này sẽ tiếp bước đưa Ethereum lên tầm cao mới

Taylor