Pectra maakt wallets slimmer – maar ook gevaarlijker

Ethereum’s nieuwe upgrade ‘Pectra’ moet het netwerk sneller en flexibeler maken. Klinkt goed, toch? Maar er zit een addertje onder het gras: met één simpele handtekening – buiten de blockchain om – kan een hacker je hele wallet leeghalen.

Wat is er aan de hand?

Sinds 7 mei is Pectra live, met als opvallende toevoeging EIP-7702. Die maakt het mogelijk om je wallet tijdelijk om te toveren tot een programmeerbare smart contract–gebaseerde wallet. Het enige wat nodig is: een handtekening van jou, buiten de blockchain om. Geen bevestiging via je hardware wallet, geen gasfees – niks.

Als een hacker jouw handtekening weet te bemachtigen, bijvoorbeeld via een phishing-site of nep-DApp, dan kan die je wallet zó aanpassen dat hij automatisch jouw ETH of tokens naar zichzelf stuurt.

Waarom is dit zo riskant?

• Je merkt het niet: De handtekening ziet eruit als een normaal loginbericht. Veel wallets geven geen waarschuwing.
• Ook hardware wallets zijn kwetsbaar: Een Ledger of Trezor beschermt je niet als jij iets tekent wat je niet snapt.
• Universeel inzetbaar: Door de manier waarop de handtekening werkt, kan die ook op andere chains opnieuw gebruikt worden.

Kortom: één moment van onoplettendheid, en je bent alles kwijt.

Hoe werkt het technisch?

EIP-7702 maakt het mogelijk om met een bericht (en dus zonder transactie) een zogeheten SetCode-transactie te activeren. Daarmee geef je een ander contract controle over je wallet. Je wallet wordt dus als het ware ‘herscheiden’. Dit gebeurde eerder nooit zonder on-chain actie, maar nu dus wel.

Smart contract-auditor Arda Usman legt uit: “Zodra die code is ingesteld, kan de hacker je wallet gebruiken alsof het zijn eigen smart contract is.”

Hoe voorkom je dit?

• Teken nooit zomaar iets: Als je niet snapt wat je tekent, klik dan weg.
• Let op ‘delegation requests’: Nieuwe soorten berichten kunnen misleidend zijn. Vooral berichten waarin jouw nonce genoemd wordt, kunnen verdacht zijn.
• Gebruik een multisig wallet: Die vereist meerdere handtekeningen, waardoor dit soort aanvallen vrijwel onmogelijk zijn.
• Wallets moeten updaten: Tools en interfaces moeten deze nieuwe berichten leren herkennen en beter visualiseren voor de gebruiker.

Pectra doet meer

Naast dit nieuwe risico biedt Pectra ook technische voordelen:

• EIP-7251 verhoogt de limiet voor validators van 32 naar 2048 ETH.
• EIP-7691 zorgt voor betere schaalbaarheid van Layer 2-netwerken.

Maar voorlopig is het duidelijk: de grootste impact van Pectra is niet de snelheid of schaalbaarheid, maar de nieuwe verantwoordelijkheden voor jou als gebruiker. Je wallet mag dan slimmer worden, jij moet dat ook.