Недавнее обновление «Pectra» сети Ethereum представило несколько функций, улучшающих взаимодействие пользователей с сетью. Одним из самых обсуждаемых изменений было EIP-7702, предложение, поддержанное соучредителем Ethereum Виталиком Бутериным.
Эта функция позволяет кошелькам временно вести себя как смарт-контракты, позволяя выполнять пакетные транзакции, спонсорство газа, социальную аутентификацию и ограничение расходов.
Однако, согласно Wintermute, ведущей криптотрейдинговой компании, это новое обновление открыло дверь для опасной волны автоматизированных атак-суперов, опустошающих кошельки ничего не подозревающих пользователей. И эти атаки быстро распространяются.
Функция с хорошими намерениями
EIP-7702 был предназначен для того, чтобы сделать Ethereum более удобным для пользователей.
Пользователи могут подписать всего одну транзакцию, чтобы выполнить несколько действий сразу — то, что ранее было возможно только через смарт-контракты. Например, пользователь может одобрить токен, обменять его и отправить результат на другой кошелек за один раз.
Он также предложил улучшения качества жизни, такие как спонсирование газа для кого-то другого или использование социальных систем входа для аутентификации кошельков, что упрощает взаимодействие обычных пользователей с Ethereum без борьбы с семенными фразами.
Но то, что было разработано для помощи пользователям, быстро превратилось в оружие в руках злоумышленников.
Рост CrimeEnjoyor: Вектор атаки копирования и вставки
Wintermute недавно опубликовал анализ, показывающий, как EIP-7702 используется ботами в так называемых sweeper-атаках.
Инструмент выбора? Широко дублированный контракт Wintermute, прозванный “CrimeEnjoyor.”
Вот как это работает:
Преступники развертывают вредоносные контракты с простым байт-кодом, скопированным и вставленным в тысячи экземпляров. Эти контракты предназначены для автоматического вывода средств из кошельков, чьи закрытые ключи были скомпрометированы. Как только эти кошельки получают ETH, контракты мгновенно перенаправляют средства на адрес злоумышленника.
Исследование Wintermute, доступное через панель Dune, показывает, что более 97% делегирований EIP-7702 были связаны с этими идентичными контрактами.
“Контракт CrimeEnjoyor короткий, простой и широко используется,” отметил Wintermute в X. “Этот один скопированный байт-код теперь составляет большинство всех делегирований EIP-7702. Это одновременно смешно, мрачно и захватывающе.”
Это не только проблема смарт-контрактов
Хотя EIP-7702 является средством, коренная причина остается скомпрометированными приватными ключами.
Wintermute и другие эксперты по безопасности подчеркивают, что EIP-7702 не является по своей природе опасным. Скорее, он упрощает и ускоряет кражу средств, как только кошелек будет скомпрометирован.
Как отметил эксперт по безопасности Тейлор Монахан:
«На самом деле это не проблема 7702. Это та же проблема, с которой криптовалюта сталкивается с первого дня: конечные пользователи испытывают трудности с безопасностью своих приватных ключей.»
Сообщается, что EIP-7702 сделал более эффективным для атакующих очистку уязвимых кошельков.
Реальные убытки: пример на $146,550
23 мая пользователь незаметно подписал несколько вредоносных пакетных транзакций, используя EIP-7702. Результат? Убыток в $146,550, согласно данным блокчейн-безопасности компании Scam Sniffer.
Эти злонамеренные транзакции были связаны с Inferno Drainer, известным поставщиком услуг мошенничества, который активно работает в крипто-пространстве на протяжении многих лет.
Неприятная правда о будущем Ethereum
Wintermute пошел дальше, подвергнув реверс-инжинирингу вредоносный байт-код в читаемый человеком код Solidity. Это упростило выявление и пометку вредоносных контрактов. Они даже публично проверили код, чтобы повысить осведомленность.
В самом коде содержится предупреждение в открытом виде:
“Этот контракт используется плохими парнями для автоматического захвата всего входящего Эфира. НЕ ОТПРАВЛЯЙТЕ НИКАКОЙ ЭФИР.”
Но, несмотря на предупреждение, контракт остается действительным. Пользователи, которые не понимают, что подписывают, находятся под серьезным риском, особенно при использовании незнакомых dApp или инструментов, которые побуждают их делегировать контроль в соответствии с EIP-7702.
Контракт CrimEnjoyer с предупреждением (Изображение: Wintermute)Еще одна компания по безопасности, SlowMist, подтвердила растущую угрозу. Компания призвала поставщиков услуг кошельков быстро адаптироваться и поддерживать предупреждения о делегировании EIP-7702.
"Поставщики услуг кошельков должны быстро поддерживать транзакции EIP-7702 и, когда пользователи подписывают делегирования, должны явно отображать целевой контракт, чтобы снизить риск фишинговых атак," - сказал SlowMist.
Другие функции Pectra теперь затмевают
Обновление Pectra, которое было запущено 7 мая на эпохе 364032, также включало два других крупных изменения:
EIP-7251: Повышение лимита ставок валидаторов с 32 Эфир до 2,048 Эфир, что улучшает эффективность институциональных валидаторов.
Улучшения производительности и масштабируемости под капотом.
Но из-за злоупотреблений EIP-7702 другие обновления в значительной степени были затмены.
На сегодняшний день было выполнено более 12,329 EIP-7702 транзакций, большинство из которых связано с делегированием, которое злоупотребляют боты-сборщики.
Так в чем же решение?
Хотя EIP-7702 сам по себе является опциональным и не обязательным для базовых транзакций, необходимость в образовании, прозрачности и улучшении безопасности на уровне кошелька как никогда актуальна.
Пользователи должны:
Никогда не подписывайте незнакомые транзакции, не понимая контракт назначения.
Используйте кошельки, которые отображают полную информацию о контракте перед подтверждением.
Обращайтесь с любыми запросами на делегирование с крайней осторожностью, особенно когда они связаны с несколькими шагами.
Для разработчиков Wintermute предлагает публичную проверку контрактов и упрощение обнаружения опасных шаблонов. Компания считает, что более агрессивная маркировка вредоносной активности может защитить новых пользователей и снизить риски фишинга.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Эксплуатация обновления Pectra Ethereum ботами, опустошающими Кошельки: отчет | BSCN (fka BSC News)
Недавнее обновление «Pectra» сети Ethereum представило несколько функций, улучшающих взаимодействие пользователей с сетью. Одним из самых обсуждаемых изменений было EIP-7702, предложение, поддержанное соучредителем Ethereum Виталиком Бутериным.
Эта функция позволяет кошелькам временно вести себя как смарт-контракты, позволяя выполнять пакетные транзакции, спонсорство газа, социальную аутентификацию и ограничение расходов.
Однако, согласно Wintermute, ведущей криптотрейдинговой компании, это новое обновление открыло дверь для опасной волны автоматизированных атак-суперов, опустошающих кошельки ничего не подозревающих пользователей. И эти атаки быстро распространяются.
Функция с хорошими намерениями
EIP-7702 был предназначен для того, чтобы сделать Ethereum более удобным для пользователей.
Пользователи могут подписать всего одну транзакцию, чтобы выполнить несколько действий сразу — то, что ранее было возможно только через смарт-контракты. Например, пользователь может одобрить токен, обменять его и отправить результат на другой кошелек за один раз.
Он также предложил улучшения качества жизни, такие как спонсирование газа для кого-то другого или использование социальных систем входа для аутентификации кошельков, что упрощает взаимодействие обычных пользователей с Ethereum без борьбы с семенными фразами.
Но то, что было разработано для помощи пользователям, быстро превратилось в оружие в руках злоумышленников.
Рост CrimeEnjoyor: Вектор атаки копирования и вставки
Wintermute недавно опубликовал анализ, показывающий, как EIP-7702 используется ботами в так называемых sweeper-атаках.
Инструмент выбора? Широко дублированный контракт Wintermute, прозванный “CrimeEnjoyor.”
Вот как это работает:
Преступники развертывают вредоносные контракты с простым байт-кодом, скопированным и вставленным в тысячи экземпляров. Эти контракты предназначены для автоматического вывода средств из кошельков, чьи закрытые ключи были скомпрометированы. Как только эти кошельки получают ETH, контракты мгновенно перенаправляют средства на адрес злоумышленника.
Исследование Wintermute, доступное через панель Dune, показывает, что более 97% делегирований EIP-7702 были связаны с этими идентичными контрактами.
Это не только проблема смарт-контрактов
Хотя EIP-7702 является средством, коренная причина остается скомпрометированными приватными ключами.
Wintermute и другие эксперты по безопасности подчеркивают, что EIP-7702 не является по своей природе опасным. Скорее, он упрощает и ускоряет кражу средств, как только кошелек будет скомпрометирован.
Как отметил эксперт по безопасности Тейлор Монахан:
Сообщается, что EIP-7702 сделал более эффективным для атакующих очистку уязвимых кошельков.
Реальные убытки: пример на $146,550
23 мая пользователь незаметно подписал несколько вредоносных пакетных транзакций, используя EIP-7702. Результат? Убыток в $146,550, согласно данным блокчейн-безопасности компании Scam Sniffer.
Эти злонамеренные транзакции были связаны с Inferno Drainer, известным поставщиком услуг мошенничества, который активно работает в крипто-пространстве на протяжении многих лет.
Неприятная правда о будущем Ethereum
Wintermute пошел дальше, подвергнув реверс-инжинирингу вредоносный байт-код в читаемый человеком код Solidity. Это упростило выявление и пометку вредоносных контрактов. Они даже публично проверили код, чтобы повысить осведомленность.
В самом коде содержится предупреждение в открытом виде:
Но, несмотря на предупреждение, контракт остается действительным. Пользователи, которые не понимают, что подписывают, находятся под серьезным риском, особенно при использовании незнакомых dApp или инструментов, которые побуждают их делегировать контроль в соответствии с EIP-7702.
Другие функции Pectra теперь затмевают
Обновление Pectra, которое было запущено 7 мая на эпохе 364032, также включало два других крупных изменения:
Но из-за злоупотреблений EIP-7702 другие обновления в значительной степени были затмены.
На сегодняшний день было выполнено более 12,329 EIP-7702 транзакций, большинство из которых связано с делегированием, которое злоупотребляют боты-сборщики.
Так в чем же решение?
Хотя EIP-7702 сам по себе является опциональным и не обязательным для базовых транзакций, необходимость в образовании, прозрачности и улучшении безопасности на уровне кошелька как никогда актуальна.
Пользователи должны:
Для разработчиков Wintermute предлагает публичную проверку контрактов и упрощение обнаружения опасных шаблонов. Компания считает, что более агрессивная маркировка вредоносной активности может защитить новых пользователей и снизить риски фишинга.