Tính năng ví thông minh mới được Ethereum giới thiệu gần đây, EIP-7702, đang bị giám sát sau khi các nhà nghiên cứu an ninh blockchain phát hiện ra việc tội phạm mạng lợi dụng nó. Sau nâng cấp Pectra, một số nhà cung cấp ví đã bắt đầu tích hợp các tính năng của EIP-7702.
Các nhà phân tích tại Wintermute, một công ty giao dịch tiền điện tử, nhận thấy rằng các kẻ tấn công đã sử dụng 97% các ủy quyền ví EIP-7702 để triển khai các hợp đồng nhằm rút tiền từ những người dùng không ngờ tới.
Hacker Sử Dụng EIP-7702 của Ethereum Để Tự Động Rút Tiền Hàng Loạt Từ Ví
EIP-7702 tạm thời cho phép các tài khoản được sở hữu bên ngoài (EOAs) hoạt động như các ví hợp đồng thông minh. Nâng cấp này cho phép các tính năng như gộp giao dịch, giới hạn chi tiêu, tích hợp passkey và khôi phục ví - tất cả đều không thay đổi địa chỉ ví.
Mặc dù những nâng cấp này nhằm mục đích nâng cao khả năng sử dụng, nhưng các đối tượng độc hại đang tận dụng tiêu chuẩn này để đẩy nhanh việc trích xuất tiền.
Thay vì di chuyển ETH thủ công từng ví bị xâm phạm, các kẻ tấn công hiện nay ủy quyền các hợp đồng tự động chuyển tiếp bất kỳ ETH nào nhận được sang các địa chỉ của riêng họ.
"Không có nghi ngờ gì, những kẻ tấn công là một trong những người áp dụng sớm các khả năng mới. 7702 không bao giờ được dự định là giải pháp hoàn hảo và nó có những use case rất tốt," Rahul Rumalla, Giám đốc Sản phẩm tại Safe, đã nói.
Phân tích của Wintermute cho thấy hầu hết các ủy quyền ví này đều trỏ đến các cơ sở mã giống hệt nhau được thiết kế để "quét" ETH từ các ví bị xâm phạm.
Phê duyệt Ủy nhiệm Giao dịch EIP-7702 của Ethereum. Nguồn: DuneNhững trình quét này tự động chuyển bất kỳ khoản tiền nào đến các địa chỉ do kẻ tấn công kiểm soát. Trong số gần 190.000 hợp đồng được ủy quyền được kiểm tra, hơn 105.000 được liên kết với hoạt động bất hợp pháp.
Koffi, một nhà phân tích dữ liệu cao cấp tại Mạng Base, giải thích rằng hơn một triệu ví đã tương tác với các hợp đồng đáng ngờ vào cuối tuần qua.
Anh ấy làm rõ rằng các kẻ tấn công đã không sử dụng EIP-7702 để hack các ví mà là để hợp lý hóa việc trộm cắp từ các ví đã bị lộ khóa riêng
Nhà phân tích còn cho biết một triển khai nổi bật bao gồm một chức năng nhận được kích hoạt để chuyển ETH ngay khi tiền đến trong ví, loại bỏ nhu cầu rút tiền thủ công.
Yu Xian, nhà sáng lập công ty an ninh blockchain SlowMist, xác nhận rằng những kẻ thực hiện là các nhóm trộm cắp có tổ chức, không phải các nhà khai thác lừa đảo điển hình. Ông lưu ý rằng các khả năng tự động hóa của EIP-7702 khiến nó đặc biệt hấp dẫn đối với các vụ khai thác quy mô lớn.
"Cơ chế mới EIP-7702 được sử dụng nhiều nhất bởi các nhóm ăn cắp tiền (không phải các nhóm lừa đảo) để tự động chuyển tiền từ các địa chỉ ví có khóa riêng/ghi nhớ bị rò rỉ," ông tuyên bố.
Mặc dù quy mô của hoạt động, nhưng cho đến nay chưa có lợi nhuận nào được xác nhận.
Địa chỉ của Các Đối Tượng Độc Hại EIP 7702 của Ethereum. Nguồn: DuneMột nhà nghiên cứu tại Wintermute nhận thấy rằng các kẻ tấn công đã chi khoảng 2,88 ETH để ủy quyền hơn 79.000 địa chỉ. Một địa chỉ đã thực hiện gần 52.000 ủy quyền, nhưng địa chỉ đích vẫn chưa nhận được bất kỳ khoản tiền nào.
