Das am 7. Mai aktivierte Pectra-Update von Ethereum bringt nicht nur Verbesserungen, sondern auch ein erhebliches Sicherheitsrisiko mit sich. Experten warnen: Angreifer können nun Wallets allein mit einer Offchain-Signatur komplett leeren – selbst Hardware-Wallets bieten keinen zusätzlichen Schutz mehr.
- EIP-7702 ermöglicht Wallet-Kontrolle durch einfache Nachrichten-Signatur
- Hardware-Wallets bieten keinen zusätzlichen Schutz mehr
- Neue Angriffsvektoren durch Phishing und gefälschte dApps
Reminder guys: now with PECTRA ethereum upgrade, you only need to sign a message to get completely drained! Before, you actually had to sign the TX.
— Vladimir S. | Officer's Notes (@officer_cia) May 7, 2025
Be very careful of what you sign now – even an offchain message!
Das Ethereum-Netzwerk hat am 7. Mai 2025 das Pectra-Upgrade erfolgreich implementiert. Die Aktualisierung bringt wichtige Neuerungen zur Skalierbarkeit und Smart-Account-Funktionalität – öffnet aber gleichzeitig eine gefährliche Sicherheitslücke. Im Zentrum der Bedrohung steht das Ethereum Improvement Proposal (EIP)-7702, das eine neue Transaktionsart einführt.
Angreifer benötigen nur eine Signatur
Die als „SetCode“ bezeichnete Transaktion (Typ 0x04) ermöglicht es Nutzern, die Kontrolle über ihre Wallet per Nachrichten-Signatur an einen Smart Contract zu delegieren. „Es wird für Angreifer möglich, die Gelder eines EOA (Externally Owned Account) nur mit einer offchain signierten Nachricht abzuziehen – ohne direkte Onchain-Transaktion des Nutzers“, erklärte Arda Usman, ein Solidity-Smart-Contract-Auditor, gegenüber Cointelegraph.
Erhält ein Angreifer diese Signatur, beispielsweise über eine Phishing-Seite, kann er den Wallet-Code mit einem Proxy überschreiben, der Aufrufe an einen bösartigen Vertrag weiterleitet. „Sobald der Code gesetzt ist, kann der Angreifer diesen Code aufrufen, um das ETH oder die Token des Kontos zu transferieren – ohne dass der Nutzer jemals eine normale Überweisung signiert hat“, führte Usman aus.
Hardware-Wallets nicht mehr sicherer
Besonders alarmierend: Auch Hardware-Wallets bieten keinen zusätzlichen Schutz mehr gegen diese neue Angriffsmethode. „Hardware-Wallets sind von nun an dem gleichen Risiko ausgesetzt wie Hot Wallets, wenn es um das Signieren böswilliger Nachrichten geht“, warnte Yehor Rudytsia, Onchain-Forscher bei Hacken. „Wenn die Signatur erfolgt ist, sind alle Gelder sofort weg.“
What the Ethereum Pectra update has in store – short and to the point
— Noir (@Noir_Pulse_) May 11, 2025
It is primarily focused on improving the user experience, not just technical changes.
Here's what will change:
– Smart wallets for everyone
Conventional wallets (EOAs) will now be able to perform actions that… pic.twitter.com/N7uzNXcP3J
Vor dem Pectra-Update konnten Wallets nicht ohne eine direkt vom Nutzer signierte Transaktion modifiziert werden. Jetzt kann eine einfache Offchain-Signatur Code installieren, der die komplette Kontrolle an einen Angreifer delegiert. „Vor Pectra mussten Nutzer eine Transaktion senden (nicht nur eine Nachricht signieren), um ihre Gelder bewegen zu lassen… Nach Pectra kann jede Operation aus dem Contract ausgeführt werden, den der Nutzer via SET_CODE genehmigt hat“, erläuterte Rudytsia.
So können sich Nutzer schützen
Um sich zu schützen, sollten Nutzer keine Nachrichten signieren, die sie nicht vollständig verstehen. Besondere Vorsicht ist bei neuen Delegations-Signaturformaten geboten, die durch EIP-7702 eingeführt wurden und nicht mit bestehenden EIP-191- oder EIP-712-Standards kompatibel sind.
„Wenn eine Nachricht Ihre Account-Nonce enthält, beeinflusst sie wahrscheinlich Ihr Konto direkt“, warnte Usman. Erschwerend kommt hinzu, dass EIP-7702 Signaturen mit chain_id = 0 erlaubt, was bedeutet, dass die signierte Nachricht auf jeder Ethereum-kompatiblen Chain repliziert werden kann.
Neben dieser sicherheitskritischen Änderung brachte Pectra auch positive Neuerungen: EIP-7251 erhöhte Ethereums Validator-Staking-Limit von 32 auf 2.048 ETH, während EIP-7691 die Anzahl der Daten-Blobs pro Block für eine bessere Layer-2-Skalierbarkeit steigert.
