骇客利用以太坊新升级 EIP-7702 窃走逾 14 万美元！MetaMask 钱包成新目标

近期一起针对以太坊钱包的新型钓鱼诈骗攻击震惊区块链社群，骇客利用以太坊最新升级 EIP-7702 中的功能成功窃取了价值 146,551 美元的加密资产。根据区块链安全公司 SlowMist（慢雾科技） 的报告，攻击者透过 MetaMask 的 EIP-7702 Delegator 发起恶意批次交易，绕过了钱包的传统安全机制。

EIP-7702 本是升级，却成漏洞？

EIP-7702 是以太坊最近推出的一项升级提案，允许钱包使用者透过「Delegator」进行批次交易（batched transactions）。这原本是为了提高操作效率与可编程性，但如今却被骇客利用为窃取资产的通道。

透过这项新功能，诈骗集团得以在未经使用者充分授权的情况下，静默地批准代币转移，形同在用户背后打开了后门。

MetaMask 用户首当其冲，骇客无声收割

在这次事件中，骇客透过部署恶意 Delegator 合约，诱骗用户与其互动，进而执行批次交易来提取资产。中招的是一位 MetaMask 使用者，损失金额高达 146,551 美元。

SlowMist 创办人余弦表示，这类针对新功能的钓鱼攻击案例越来越多，骇客已经快速适应以太坊的升级节奏，开始针对新功能部署诈骗策略。

背后黑手再次现身：Inferno Drainer

本次攻击被归因于恶名昭彰的骇客组织 Inferno Drainer。根据 Check Point Research 在 2025 年 5 月 7 日的报告指出，该组织在过去半年内与超过 30,000 起钱包攻击事件有关，累计造成 900 万美元损失。

Inferno Drainer 以专门设计诱饵网站与诈骗智能合约闻名，并利用最新的区块链功能将钓鱼技术进一步升级，这次的 EIP-7702 事件再次印证了他们的活跃程度。

安全业者早有预警：恶意地址曝光

事实上，在 2025 年 5 月 20 日，区块链安全公司 GoPlus Security 就曾警告社群，一个与 EIP-7702 有关的恶意 Delegator 地址正在流通。该警告成为这次攻击爆发的前兆，却也显示出用户与整个 DeFi 生态在面对新升级时的应变仍显不足。

4 月诈骗潮：逾 7500 钱包中招，损失逾 530 万美元

这起事件并非个案。2025 年 4 月间，整个加密货币生态面临一波大规模钓鱼诈骗潮，共有 7,565 个钱包遭骇，资产损失高达 530 万美元。可见诈骗手法正在不断演进，而用户的风险也水涨船高。

用户如何自保？警惕新功能、避免授权陷阱

面对这种透过新功能实施的诈骗攻击，用户需格外警觉。以下几点建议能有效提升安全性：

• 避免点击不明网站或 DApp 提供的连结

• 核对每次交易授权的内容与地址

• 对尚未被广泛验证的智能合约与功能保持怀疑态度

• 使用区块链安全扩充工具如 Pocket Universe 或 ScamSniffer 辅助判断交易安全性

以太坊的进步为生态带来更多可能，但也意味著骇客工具包正同步升级。唯有提高警觉，才能在这场升级与对抗的赛跑中，守住自己的资产。

艺人黄子佼涉案的创意私房事件中，犯罪集团利用 Telegram (又称电报、纸飞机、飞机) 通讯平台作为犯罪媒介，现在，Telegram 将更有效打击犯罪活动。Telegram 最新隐私权政策中明确规范，若司法机关提交有效命令，确认用户是涉嫌违法 Telegram 服务条款的刑事案件嫌疑人，则 Telegram 可能会对提交涉案人士的相关资讯。

Telegram 最新隐私权政策：将配合执法机构提供资料

根据 Telegram 官方最新隐私权政策第 3.3.1：「Telegram 是一项云端服务。我们将您云端聊天中的讯息、照片、影片和文件储存在我们的伺服器上，让您能随时从任何装置存取您的资料，而无需依赖第三方备份。所有资料皆经过强力加密，且每组加密金钥均储存在不同司法管辖区的多个资料中心。如此一来，当地工程师或实体入侵者无法取得用户资料。」

以及 8.3 条：「如果 Telegram 收到相关司法机关的有效命令，确认您是涉及违反 Telegram 服务条款的刑事案件的嫌疑人，我们将对该请求进行法律分析，并可能向相关机关披露您的 IP 位址和电话号码。若有任何资料被分享，我们将在每季发布的透明度报告中记录此类事。」

这表示若执法机构循法律流程向 Telegram 要求提供资料，则 Telegram 是会提供用户资料的。要注意的是 8.3 条提及的是「刑事案件」，也就是在涉嫌犯罪的情况下才会提供资料。

在创意私房事件时，Telegram 被用作散播未成年色情资讯的媒介。由于这些犯罪活动难以杜绝，台湾政府甚至一度讨论要封锁 Telegram。

卫福部保护司长张秀鸳曾表示，在两种情况下，可能将全面封锁 Telegram 使用。

1. 已通知 Telegram 却未在 24 小时内移除聊天室。
2. 无法与 Telegram 平台取得联系。

不过，这些最新政策，将更有效针对个别案件，促成 Telegram 与监管机构合作，不会进一步伤害到一般用户权益。