以太幣(Ethereum)Pectra升級遭爆重大漏洞　駭客恐藉鏈下簽名竊取用戶資產

以太幣(Ethereum)近期推動的網路升級「Pectra」已於 5 月 7 日（當地時間）在編號 364032 的區塊正式實施，不過該升級宣稱可改善「智慧帳戶」功能與網路擴展性的同時，也意外暴露出潛在的重大「安全漏洞」，引發社群關注與擔憂。

根據 Ethereum 官方開發文件，此次升級核心包括提案 EIP-7702，允許使用者將錢包控制權臨時授權給外部合約，而無需親自簽署鏈上交易。然而，資安專家指出，駭客若透過釣魚網站等方式取得使用者的「鏈下簽名」，便可惡意觸發 SetCode 類型交易，覆寫使用者錢包內部代碼，大舉竊取資產。

專精 Solidity 智慧合約安全審計的開發者 Arda Usman 表示，僅需一個「鏈下訊息簽名」，攻擊者就能在無須額外授權的情況下轉移使用者錢包內的以太幣(ETH)與其他代幣資產。他提醒：「攻擊者可以在不產生任何 EOA 錢包交易紀錄的情況下，偷偷將資產竊走。」

此次漏洞焦點集中在交易類型「0x04」，該功能允許直接更改錢包邏輯一部分的智能合約程式碼。雖這項機制原本是為智慧帳戶提供彈性與自定義功能，但專家警告，若缺乏完整驗證機制，可能淪為駭客手中危險的「後門」。

評論：Pectra 升級雖具技術創新意義，但錯誤配置的風險顯示去中心化應用日益成熟的同時，對「資安防護機制」也須與時俱進。改善鏈上用戶體驗不應以犧牲基本安全為代價。

目前，社群對此議題高度關注，一方面肯定 Pectra 帶來的高階功能，另一方面亦呼籲以太坊基金會與開發社群應儘速發布「風險控制指引」與「安全實作建議」，以防釀成大規模資金損失。