Die Welt der Kryptowährungen ist ein sich ständig weiterentwickelnder Raum, in dem Updates und Verbesserungen darauf abzielen, Benutzerfreundlichkeit, Skalierbarkeit und Sicherheit zu erhöhen. Ethereum, als eine der führenden Plattformen für dezentrale Anwendungen und Smart Contracts, hat kürzlich ein bedeutendes Netzwerk-Update namens Pectra eingeführt. Dieses Upgrade bringt unter anderem die neue Ethereum Improvement Proposal (EIP) 7702 mit sich, welche die Offchain-Wallet-Delegation ermöglicht. Innovativ und zugleich riskant birgt Pectra eine Sicherheitslücke, über die Hacker bereits Geldbörsen ausrauben können, ohne dass die Nutzer eine onchain Transaktion signieren müssen. Pectra ging am 7.
Mai 2025 live und führte das sogenannte SetCode-Transaktionstyp (0x04) ein. Dieses erlaubt es, den Code eines extern verwalteten Kontos (Externally Owned Account, EOA) per Signatur zu überschreiben und somit neue Programmierlogik auf das Wallet aufzuspielen. Damit verwandelt sich das bisher einfache Nutzerkonto in eine Art programmierbare Vertragsumgebung, was prinzipiell neue Funktionalitäten ermöglicht und den Umgang mit Wallets flexibler macht. Doch genau diese Flexibilität öffnet Tür und Tor für Cyberangriffe. Ein Angreifer, der eine gültige Offchain-Signatur erlangt – beispielsweise durch Phishing, gefälschte dezentrale Anwendungen oder manipulierte Discord-Server – kann den Wallet-Code überschreiben und damit volle Kontrolle über das Konto übernehmen, ohne dass ein aufwendiger onchain Transaktionsprozess durchlaufen werden muss.
Diese neue Form der Wallet-Hijack-Attacke ist besonders perfide, weil sie Nutzern bislang vertraute Sicherheitsmechanismen aushebelt. Bisher mussten Wallet-Besitzer immer eine aufwendige Transaktion signieren, die im Ethereum-Netzwerk verifiziert wird, bevor Gelder bewegt werden konnten. Mit Pectra reicht nun eine einfache Offchain-Signatur, die oft nicht in ihrer Tragweite erkannt wird. Experten wie der Solidity-Sicherheitsexperte Arda Usman warnen eindringlich vor diesem Szenario: Es genügt ein scheinbar harmloses Signieren einer Nachricht, um danach den kompletten Zugriff auf das Wallet zu verlieren. Selbst Hardware-Wallets, die bisher als besonders sicher galten, verlieren durch diese Angriffsmöglichkeit an Schutzwirkung.
Denn die Hardware schützt nur vor der physischen Gefährdung, das Signieren selbst erfolgt weiterhin nach dem Willen des Nutzers – und wenn dieser unwissentlich einen Delegationsauftrag unterschreibt, ist die Wallet kompromittiert. Ein wesentliches Problem besteht darin, dass die bekannten Standards zum Signieren von Nachrichten, etwa EIP-191 oder EIP-712, durch EIP-7702 nicht kompatibel sind. Die neuen Signaturformate erscheinen häufig als schlichte 32-Byte-Hashes ohne weitere Kontextinformationen. Das führt dazu, dass Wallet-Software die Anfragen nicht ausreichend visualisieren oder einordnen kann. Nutzer sehen dann oft nur eine kryptische Nachricht und unterschreiben ohne Warnhinweise.
Sicherheitsexperten empfehlen daher, dass Wallet-Entwickler unbedingt neue Anzeige- und Prüfungsmöglichkeiten integrieren müssen, um Delegationsanfragen abzublocken oder zumindest zu kennzeichnen. Auch Nutzer sind angewiesen, besonders vorsichtig mit allen Signaturanfragen zu sein und keine Nachrichten zu unterschreiben, die sie nicht vollständig verstehen. Zusätzlich zur fehlenden Kompatibilität kommt das Problem der sogenannten Chain-ID 0-Signaturen hinzu. Diese Signaturen können auf jedem Ethereum-kompatiblen Netzwerk wiederverwendet werden. Damit besteht die Gefahr, dass einmal unterschriebene Delegationsaufträge universell zum Einsatz kommen können – von der Ethereum-Mainnet bis hin zu Testnetzwerken oder anderen L1- und L2-Chains.
Dieses Replay-Risiko erhöht den Druck auf Wallet-Entwickler, Schutzmechanismen zu implementieren und Benutzer vor diesen Angriffen zu bewahren. Unter den smarten Wallets oder multisignature Wallets bleibt eine leichte Sicherheitserhöhung bestehen, da dort mehrere Unterschriften notwendig sind, um den Code im Wallet zu ändern. Single-Key-Wallets haben hingegen kaum Schutz gegen diesen Delegationsangriff. Das unterstreicht die Notwendigkeit, auf modernere Sicherheitsarchitekturen zu setzen und Wallets mit verbesserter Signaturprüfung zu nutzen. Ein weiteres zusätzliches Feature im Pectra-Upgrade ist EIP-7251, welches die Validator-Staking-Grenze von Ethereum von 32 auf 2048 ETH erhöht.
Zusammen mit EIP-7691, das die Anzahl der Datenblöcke pro Block erhöht, zielt Pectra darauf ab, Ethereum skalierbarer und effizienter zu machen. Doch insbesondere die Wallet-Delegation durch EIP-7702 sticht heraus als einer der kritischsten Angriffsvektoren. Im Kern zeigt das Pectra-Update eindrücklich, wie technische Innovationen im Blockchain-Bereich oft eine Doppelgesichtigkeit aufweisen: Sie bringen neue Möglichkeiten, erhöhen aber auch potenziell die Angriffsflächen erheblich. Die Ethereum-Community, Wallet-Anbieter und Nutzer stehen nun vor der Herausforderung, die Balance zwischen Flexibilität und Sicherheit neu auszutarieren. Nur durch Aufklärung, schnelle Software-Updates, und ein bewusster Umgang mit Signaturanfragen können die Risiken minimiert werden.
Für Nutzer bedeutet das vor allem, sich strikt davor zu hüten, jede Offchain-Signatur unüberlegt zu akzeptieren. Besonders bei unbekannten oder verdächtigen Websites, Anwendungen oder in Chat- und Community-Kanälen sollten keine Signatur-Anfragen bestätigt werden. Wallet-Hersteller müssen hier die dringend notwendige Nutzerführung anbieten, damit keine schädlichen Delegationen ohne Wissen der Nutzer unterschrieben werden können. In Zukunft könnte Ethereum durch weitere Standards oder Protokollanpassungen versuchen, diese Sicherheitslücken zu schließen oder zumindest deutlicher vor ihnen zu warnen. Bis dahin bleibt die aufgeklärte Wachsamkeit aller Beteiligten der wirksamste Schutz.
Pectra zeigt einmal mehr, dass Fortschritt in der Blockchain-Technologie immer auch neue Verantwortlichkeiten und Risiken mit sich bringt, denen sich alle Nutzer bewusst sein müssen, um ihr digitales Vermögen zu schützen.
