Nuova funzionalità introdotta in questa altcoin comporta il rischio di furto di asset: cautela consigliata
Wintermute, una nota azienda di trading nei mercati delle criptovalute, ha emesso un importante avviso di sicurezza riguardo al recente hard fork “Pectra” di Ethereum.
Secondo l'azienda, la funzionalità chiamata EIP-7702, introdotta come parte dell'aggiornamento, è principalmente abusata da persone malintenzionate e i portafogli degli utenti sono a rischio.
L'EIP-7702 introduce una funzionalità di “astrazione dell'account” pionieristica co-fondata da Vitalik Buterin #VitalikButerin che consente ai portafogli di agire temporaneamente come contratti intelligenti, permettendo agli utenti di eseguire funzioni come l'accorpamento di più transazioni, avere le spese di gas pagate da qualcun altro e l'autenticazione sociale in un'unica transazione. Tuttavia, secondo i dati pubblicati da Wintermute tramite Dune Analytics, questa capacità viene utilizzata da attaccanti malintenzionati per svuotare i portafogli.
Secondo l'analisi di Wintermute, oltre l'80% delle deleghe EIP-7702 serve ad attacchi chiamati “CrimeEnjoyor”, dove un contratto intelligente semplice e breve viene copiato e riutilizzato su indirizzi diversi. Questo contratto trasferisce automaticamente gli asset da portafogli con chiavi private compromesse a un indirizzo controllato dall'attaccante.
“Il contratto CrimeEnjoyor è breve, semplice e ampiamente utilizzato,” ha affermato Wintermute. “Questo bytecode copiato ora costituisce la maggior parte di tutte le deleghe EIP-7702. È sia ironico che oscuro.”
La società di sicurezza blockchain Scam Sniffer ha anche recentemente annunciato di aver rilevato una transazione malevola collegata a un servizio di truffa noto da tempo chiamato Inferno Drainer, che ha causato una perdita di circa $150.000. Nel frattempo, un'altra azienda di sicurezza, SlowMist, nella sua analisi delle vulnerabilità dell'EIP-7702, ha sottolineato che i fornitori di servizi di portafoglio dovrebbero supportare tali transazioni e che è importante per gli utenti indicare chiaramente gli indirizzi di destinazione nei contratti che firmano.
