Ethereums nyligen introducerade smarta plånboksfunktion, EIP-7702, granskas efter att blockkedjesäkerhetsforskare upptäckt att cyberbrottslingar missbrukar den. Efter Pectra-uppgraderingen har flera plånboksleverantörer börjat integrera EIP-7702-funktioner.
Analytiker på Wintermute, ett kryptohandelsföretag, noterade att angripare använde 97 % av EIP-7702-plånboksdelegationerna för att distribuera kontrakt som är utformade för att tömma medel från intet ont anande användare.
Hackare använder Ethereums EIP-7702 för att automatisera massdränering av plånböcker
EIP-7702tillåter tillfälligt externt ägda konton (EOAs) att fungera som smarta kontraktsplånböcker. Uppgraderingen möjliggör funktioner som transaktionsbatchning, utgiftsgränser, passnyckelintegration och plånboksåterställning—allt utan att ändra plånboksadresser.
Även om dessa uppgraderingar syftar till att förbättra användarvänligheten, utnyttjar skadliga aktörer standarden för att påskynda uttag av medel.
Istället för att flytta ETH manuellt från varje komprometterad plånbok, auktoriserar angripare nu kontrakt som automatiskt vidarebefordrar mottagen ETH till deras egna adresser.
“Det råder ingen tvekan om att angripare är bland de tidiga användarna av nya funktioner. 7702 var aldrig tänkt att vara en universallösning och det har bra användningsområden,” sa Rahul Rumalla, Chief Product Officer på Safe, sa.
Wintermutes analys visar att de flesta av dessa plånboksdelegationer pekar på identiska kodbaser utformade för att “svepa” ETH från komprometterade plånböcker.
Dessa svepare överför automatiskt inkommande medel till adresser som kontrolleras av angripare. Av nästan 190 000 granskade delegerade kontrakt var mer än 105 000 kopplade till olaglig aktivitet.
Koffi, en senior dataanalytiker på Base Network, förklarade att över en miljon plånböcker interagerade med misstänkta kontrakt förra helgen.
Han klargjorde att angripare inte använde EIP-7702 för att hacka plånböckerna utan för att effektivisera stöld från plånböcker med redan exponerade privata nycklar.
Analytikern tillade att en framstående implementering inkluderar en mottagarfunktion som utlöser ETH-överföringar så snart medel landar i plånboken, vilket eliminerar behovet av manuell uttagning.
Yu Xian, grundare av blockkedjesäkerhetsföretaget SlowMist, bekräftade att förövarna är organiserade stöldgrupper, inte typiska nätfiskare. Han noterade att EIP-7702:s automatiseringsmöjligheter gör det särskilt attraktivt för storskaliga utnyttjanden.
“Den nya mekanismen EIP-7702 används mest av myntstöldgrupper (inte nätfiskare) för att automatiskt överföra medel från plånboksadresser med läckta privata nycklar/mnemonics,” uttalade han.
Trots operationens omfattning finns det inga bekräftade vinster hittills.
En forskare på Wintermute noterade att angripare har spenderat cirka 2,88 ETH för att auktorisera över 79 000 adresser. En adress ensam utförde nästan 52 000 auktoriseringar, men mål-adressen har inte mottagit några medel.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
