以太坊最近引入的智能钱包功能EIP-7702正受到审查,因为区块链安全研究人员发现网络犯罪分子滥用了这一功能。在Pectra升级后,多家钱包提供商已开始集成EIP-7702功能。
加密交易公司Wintermute的分析师指出,攻击者利用97%的EIP-7702钱包委托来部署旨在从毫无戒心的用户那里抽走资金的合约。
黑客利用以太坊的EIP-7702自动化大规模钱包资金抽取
EIP-7702临时允许外部拥有账户(EOAs)作为智能合约钱包运行。该升级支持交易批处理、支出限制、密钥集成和钱包恢复等功能,且无需更改钱包地址。
尽管这些升级旨在提高可用性,但恶意行为者正利用该标准加速资金提取。
攻击者不再需要手动从每个被入侵的钱包中转移ETH,而是授权合约自动将收到的任何ETH转发到他们自己的地址。
"毫无疑问,攻击者是新功能的早期采用者。7702从未意味着是万能解决方案,它确实有很好的使用场景,"Safe的首席产品官Rahul Rumalla表示。
Wintermute的分析显示,这些钱包委托大多指向相同的代码库,旨在从被入侵的钱包中"清空"ETH。
以太坊的EIP-7702交易委托批准。来源:Dune这些清空程序会自动将任何进账资金转移到攻击者控制的地址。在近19万个被检查的委托合约中,超过10.5万个与非法活动有关。
Base Network的高级数据分析师Koffi解释,上周末超过100万个钱包与可疑合约进行了交互。
他澄清,攻击者并未使用EIP-7702入侵钱包,而是为了简化从已泄露私钥的钱包中盗取资金的过程
该分析师进一步指出,一个突出的实现包括一个接收函数,可在资金进入钱包的瞬间触发ETH转账,无需手动提取。
区块链安全公司慢雾的创始人余弦确认,这些perpetrators是有组织的盗窃团伙,而非典型的钓鱼运营商。他指出,EIP-7702的自动化功能使其对大规模攻击特别有吸引力。
"新机制EIP-7702主要被盗币团伙(而非钓鱼团伙)用于自动从泄露私钥/助记词的钱包地址转移资金,"他表示。
尽管行动规模庞大,但目前尚未确认有任何收益。
以太坊EIP 7702恶意行为者地址。来源:DuneWintermute的一位研究员指出,攻击者已花费约2.88个ETH授权了近7.9万个地址。一个地址单独执行了近5.2万次授权,但目标地址尚未收到任何资金。
