市场突发重磅信号

　　5月12日，以太币微幅回跌至2499美元附近，但自上周以太坊公链进行Pectra重大升级以来，涨幅仍然跑赢老大哥比特币。链上分析师Ai姨发现，川普家族旗下World Liberty Financial(WLFI)项目的关联地址借币做多以太币，总价值超过1511万美元。

　　Ai姨写道：“WLFI关联地址竟然也在借币做多以太币。”

　　她继续指出：“过去8小时，该地址向Aave存入50枚WBTC，并借出400万枚USDC，随后以均价2515美元在链上买入1590枚WETH代币。”

　　美国总统川普次子埃里克(Eric Trump)是以太币支持者，长期以来都在发表看多以太币的言论。

　　以太坊的最新网络升级Pectra引入了强大的新功能，旨在提高可扩展性和智能账户功能。

　　但CoinTelegraph警告，它也打开了一个危险的新攻击媒介，可能允许黑客仅使用链下签名即可从用户钱包中窃取资金。

　　在5月7日364032区块上线的Pectra升级中，攻击者可以利用一种新的交易类型来控制外部拥有账户(EOA)，而无需用户签署链上交易。

　　Solidity智能合约审计员Arda Usman证实，“攻击者仅使用链下签名消息(无需用户直接签名的链上交易)就可以耗尽EOA的资金”。

　　风险的核心在于EIP-7702，它是Pectra升级的核心组件。以太坊改进提案引入SetCode交易(类型0x04)，该交易允许用户只需签署一条消息即可将其钱包的控制权委托给另一个合约。

　　如果攻击者获得此签名(例如通过网络钓鱼网站)，他们可以使用将调用转发到恶意合约的小型代理覆盖钱包的代码。

　　Usman解释说：“一旦设置了代码，攻击者就可以调用该代码来转出账户的以太币或代币——所有这些都不需要用户签署正常的转账交易。”

　　Hacken链上研究员Yehor Rudytsia指出，Pectra引入的这种新交易类型允许在用户账户上安装任意代码，本质上将他们的钱包变成一个可编程的智能合约。

　　Rudytsia表示：“这种交易类型允许用户设置任意代码（智能合约），以便能够代表用户执行操作。”

　　在Pectra升级之前，如果没有用户直接签名的交易，钱包就无法被修改。现在，一个简单的链下签名就可以安装代码，将完全控制权委托给攻击者的合约。

（示意图）

　　Rudytsia解释道：“在Pectra之前，用户需要发送交易(而不是签署消息)才能转移资金……在Pectra之后，任何操作都可以通过用户通过SET_CODE批准的合约执行。”

　　威胁真实存在且迫在眉睫。“Pectra于2025年5月7日启动。从那时起，任何有效的委托签名都可执行，”Usman警告道。他还补充称，依赖过时假设的智能合约(例如使用tx.origin或仅基于EOA的基本检查)尤其容易受到攻击。

　　无法检测或正确表示这些新交易类型的钱包和界面风险最大。

　　Rudytsia警告说：“如果钱包不分析以太坊的交易类型，尤其是交易类型0x04，就很容易受到攻击。”

　　他强调，钱包引擎必须清楚地显示委托请求并标记任何可疑地址。

　　这种新形式的攻击可以通过常见的链下交互(如网络钓鱼电子邮件、虚假DApp或Discord诈骗)轻松执行。