以太幣(ETH)升級Pectra增強智慧帳號功能　卻引爆資安漏洞疑慮

以太幣(ETH)最新升級「Pectra」雖然旨在強化智慧帳號功能與網路擴充性，但卻同時引發潛在安全疑慮。根據 Cointelegraph 的報導，於 5 月 7 日（當地時間）正式啟用的此項升級，竟讓駭客能夠僅透過離線簽名即可竊取錢包資金，帶來新的攻擊可能性。

「Pectra」升級於以太坊區塊高度第 364032 個 epoch 上線，主要導入了新型交易格式，使駭客能操控外部帳戶(EOA)，無需鏈上簽章即可實施控制。Solidity 安全審計顧問 Arda Usman 向 Cointelegraph 表示：「自升級生效後，僅憑離線簽名信息，駭客就能取用目標 EOA 錢包中的資金。」此一手法的崛起，可能打破用戶對非託管錢包安全性的信任。

令人關注的技術核心出自 EIP-7702 提案。該提案創建了 0x04 類型的新交易方式，即「SetCode」操作，允許用戶僅透過一次簽名，即可授權自己的錢包控制權給某個智慧合約。但一旦這份簽名遭惡意網站等釣魚管道竊取，攻擊者便能將錢包的執行邏輯改寫為他們設計的惡意代理，進一步操控用戶資產。

評論：此種特性固然提高了使用彈性，但也大幅擴大了誤用空間，尤其對資安防護機制薄弱的用戶而言，風險極高。

更具爭議的是，此操作過程完全不會在鏈上留下用戶授權紀錄，也不需任何明確批准，攻擊者即取得控制權，形同為駭客開啟了一扇新門。Ethereum 社群對此感到憂慮，直指「Pectra」違背了原本以安全與便利為導向的初衷，反而引入高風險漏洞。

目前開發社群正積極討論以補強此漏洞。一方面，EIP-7702 所展現的靈活性及潛能不容忽視，但各界普遍呼籲應儘速同步制定更完善的安全手段與保護機制，以避免「簡化用戶操作」最終變成「簡化攻擊流程」。

評論：Web3 的未來在於去中心化與自主權擴張，但當設計過於開放化而忽視普及使用者的安全風險時，技術進步恐將陷入信任危機。Pectra 的教訓提醒我們，任何升級都必須安全先行。