Według BlockBeats, firma zajmująca się bezpieczeństwem blockchain Wintermute wydała ostrzeżenie dotyczące niewłaściwego użycia funkcji EIP-7702 w nowej aktualizacji Ethereum "Pectra". Ta funkcja została stworzona w celu poprawy doświadczenia użytkownika, ale hakerzy nadużywają jej.
Wintermute poinformował, że EIP-7702 jest w dużej mierze używane (ponad 80%) do automatycznych ataków. Inna firma zajmująca się bezpieczeństwem, Scam Sniffer, niedawno wykryła atak phishingowy, w którym użytkownik stracił prawie 150 000 dolarów. W tym ataku haker stworzył kontrakt o nazwie 'CrimeEnjoyor', który automatycznie opróżnia portfele, których klucze prywatne zostały wycieknięte.
EIP-7702, który zaproponował założyciel Ethereum Vitalik Buterin, miał na celu nadanie portfelom tymczasowych funkcji smart kontraktów. Oznaczało to, że użytkownicy mogli dokonywać wielu transakcji w tym samym czasie, opłacać opłaty za gaz od kogoś innego, korzystać z weryfikacji biometrycznej lub społecznej oraz ustalać limit na każdą transakcję.
Jednak Wintermute pokazał na swoim panelu Dune, że większość autoryzacji (uprawnień) odbywa się za pośrednictwem tej funkcji dla kontraktów, które są złośliwe (szkodliwe). Ekspert ds. bezpieczeństwa Taylor Monahan również powiedział, że EIP-7702 ułatwił i uczynił tańszym opróżnianie adresów.
Wintermute wyraził zdziwienie, że w większości autoryzacji używane są te same (kopiowane i wklejane) kody - co pokazuje nadużycie tej funkcji.
Według wcześniejszego raportu BlockBeats, założyciel SlowMist Yu Jian również powiedział, że najwięcej korzyści z tego nowego mechanizmu czerpią osoby kradnące monety, a nie atakujący phishingowi. EIP-7702 jest używane do wyciągania pieniędzy z portfeli, których klucze prywatne lub frazy mnemoniczne zostały wycieknięte. Jak dotąd ponad 97% autoryzacji zostało przyznanych kontraktom kradnącym monety.
Wynik:
Celem EIP-7702 było poprawienie doświadczenia użytkownika, ale teraz stał się on nowym narzędziem w rękach hakerów. Dlatego użytkownicy kryptowalut muszą zachować większą ostrożność i podejmować kroki w celu zapewnienia bezpieczeństwa.
