Actualización de Pectra en Ethereum permite a hackers vaciar billeteras

La reciente actualización de Ethereum, conocida como Pectra, ha traído consigo no solo mejoras significativas en la escalabilidad y funcionalidad de las cuentas inteligentes, sino también un nuevo vector de ataque que ha alarmado a la comunidad. Este riesgo permite a los hackers vaciar las billeteras de los usuarios con un simple acto de firma offchain, lo que abre un panorama complejo y peligroso para los propietarios de criptomonedas.

La activación de la actualización Pectra, que tuvo lugar el 7 de mayo de 2025, ha introducido cambios que modifican la forma en que interactuamos con las billeteras digitales. Si bien estas innovaciones pueden facilitar el uso de Ethereum, también permiten que los atacantes exploten vulnerabilidades de manera más efectiva y con menos esfuerzo, lo que requiere que los usuarios estén más alerta que nunca.

Cómo funciona la firma offchain para comprometer billeteras

Con esta actualización, se ha habilitado un nuevo tipo de transacción que permite a los hackers tomar control de cuentas de propiedad externa (EOAs) mediante una firma offchain. Esto significa que, en lugar de requerir que los usuarios firmen directamente una transacción onchain, un atacante podría simplemente obtener una firma de delegación válida para ejecutar acciones maliciosas.

El auditor de contratos inteligentes, Arda Usman, ha señalado que un atacante puede "vaciar los fondos de una EOA utilizando solo un mensaje firmado offchain". Esto se debe a la introducción de la EIP-7702, que permite a los usuarios delegar el control de su billetera a otro contrato simplemente firmando un mensaje. Este cambio es fundamental, ya que transforma las billeteras en entidades más susceptibles de ser manipuladas.

• Los atacantes pueden obtener firmas a través de sitios de phishing.
• Una vez obtenida la firma, pueden sobrescribir el código de la billetera con un proxy para redirigir las llamadas a su contrato malicioso.
• La EIP-7702 permite que cualquier operación sea ejecutada desde el contrato aprobado por el usuario, sin necesidad de una firma adicional.

La importancia de este vector de ataque radica en su simplicidad y en la rapidez con la que puede ser ejecutado. Los usuarios deben ser extremadamente cuidadosos al firmar cualquier tipo de mensaje, ya que una firma aparentemente inofensiva puede tener consecuencias devastadoras.

La vulnerabilidad de las billeteras: el caso de las hardware wallets

Contrario a la creencia popular, las billeteras de hardware ya no son inherentemente más seguras. Yehor Rudytsia, investigador de Hacken, ha enfatizado que estas billeteras ahora enfrentan el mismo riesgo que las billeteras calientes al firmar mensajes maliciosos. Cuando un usuario firma un mensaje comprometido, puede perder todos sus fondos en un instante.

Para mitigar estos riesgos, es esencial que los usuarios tomen precauciones al interactuar con sus billeteras. Algunas recomendaciones incluyen:

• No firmar mensajes que no entiendan completamente.
• Estar alerta ante solicitudes de firma de delegaciones sospechosas.
• Utilizar billeteras que analicen y muestren claramente los tipos de transacciones, especialmente aquellas relacionadas con la EIP-7702.

Además, es crucial que los desarrolladores de billeteras implementen advertencias claras para que los usuarios reconozcan los riesgos asociados a las firmas de delegación. Estos mensajes pueden aparecer como hashes simples, haciéndolos difíciles de identificar para el usuario promedio, lo que aumenta la posibilidad de que sean engañados.

Implicaciones de la actualización Pectra en Ethereum

La actualización Pectra no solo introduce riesgos, sino que también trae consigo características que mejoran la funcionalidad de la red Ethereum. Entre ellas, se incluye la EIP-7251, que aumenta el límite de staking de validadores de Ethereum de 32 a 2.048 ETH, lo que podría incentivar la participación de más usuarios en la validación de transacciones. Además, la EIP-7691 aumenta el número de blobs de datos por bloque, mejorando la escalabilidad de la red en su conjunto.

Sin embargo, los beneficios de estas mejoras deben ser ponderados con los nuevos riesgos. Como advierte Usman, "los contratos inteligentes que dependen de suposiciones obsoletas, como el uso de tx.origin o verificaciones básicas solo para EOAs, son particularmente vulnerables". Esto significa que los desarrolladores deben actualizar sus contratos para adaptarse a las nuevas condiciones que impone la actualización Pectra.

Recomendaciones para usuarios de Ethereum tras Pectra

Con la llegada de esta actualización, es vital que los usuarios adopten un enfoque proactivo hacia la seguridad de sus activos. Algunas prácticas recomendadas incluyen:

• Verificar siempre la autenticidad de las aplicaciones y plataformas antes de interactuar con ellas.
• Educarse sobre los nuevos tipos de transacciones y sus implicaciones.
• Utilizar billeteras multifirma cuando sea posible, ya que estas ofrecen una capa adicional de seguridad al requerir múltiples aprobaciones para ejecutar transacciones.

Además, la comunidad debe estar preparada para adaptarse rápidamente a las actualizaciones y cambios en el protocolo, así como a los diferentes métodos de ataque que pueden surgir como resultado de estas innovaciones.

Para obtener más información sobre esta actualización y sus implicaciones, se puede ver el siguiente video que detalla los cambios y cómo afectan a la seguridad de las billeteras:

En este contexto de constantes cambios y riesgos emergentes, la educación y la conciencia son las mejores herramientas para protegerse. A medida que la tecnología evoluciona, los usuarios de Ethereum deben estar en la primera línea de defensa, comprendiendo las herramientas y las prácticas que pueden ayudar a salvaguardar sus activos digitales.

Si quieres conocer otros artículos parecidos a Actualización de Pectra en Ethereum permite a hackers vaciar billeteras puedes visitar la categoría Noticias.