由于安全風險吸引了旨在耗盡用戶錢包的惡意行為者,人們對以太坊最新協(xié)議升級的擔憂繼續(xù)加劇。
以太坊改進提案EIP-7702是今年早些時候推出的Pectra升級的一部分,在鏈上觀察到大量漏洞利用后,引起了整個加密行業(yè)的密切關注。
此次升級由聯(lián)合創(chuàng)始人Vitalik Buterin提出,最初旨在通過允許標準以太坊錢包暫時表現(xiàn)得像智能合約來增強錢包功能。
然而,該功能引起了利用其功能的惡意行為者的高度關注。
以太坊EIP-7702利用率不斷上升
安全研究人員發(fā)現(xiàn),多個EIP-7702委托與始于2025年5月30日的惡意耗盡錢包的機器人有關,此前加密貨幣市場制造商Wintermute發(fā)現(xiàn)濫用新委托功能的惡意智能合同激增。
EIP-7702在帶來新便利的同時,也帶來了新的風險
- Wintermute(@wintermute_t)2025年5月30日
我們的研究團隊發(fā)現(xiàn),超過97%的EIP-7702代表團被授權使用相同的確切代碼簽訂多個合同。這些都是清掃器,用于自動排空受影響的ETH. pic.twitter.com/xHp7zr4hC9
這些合同綽號為“CrimeEnjoyors”,是簡短的、可重復使用的代碼片段,可以自動掃描委托錢包中的漏洞,并試圖將資金掃到攻擊者控制的地址。這些惡意腳本通過以無法檢測的模式無聲地驗證欺詐性代幣批準,從而自動從受損錢包中竊取資金。
雖然溫特穆特補充說,許多惡意合同尚未成功提取資金,但一些用戶已經成為受害者。2025年5月24日,加密貨幣反詐騙平臺Scam Sniffer透露,一名用戶因使用EIP-7702委托利用惡意合同的網絡釣魚攻擊而在ETH中損失了約15萬美元。
警告:升級到EIP-7702的地址在網絡釣魚攻擊中通過惡意批量交易損失了146,551美元。pic.twitter.com/7GbamqOZVI
- 詐騙嗅探者|Web 3反詐騙(@realScamSniffer)2025年5月24日
根本問題通常源于私密密鑰受損,EIP-7702的功能通過實現(xiàn)快速、自動化的盜竊而加劇了這一問題。區(qū)塊鏈安全公司SlowMist創(chuàng)始人Yu強調了該漏洞的潛在影響,并呼吁用戶保持警惕。
如何保持安全
根據SlowMist在2025年3月的分析,謹慎簽署、驗證合同和智能開發(fā)實踐是使用EIP-7702保持安全的關鍵。建議用戶在委托訪問權限之前驗證目標合同,并避免與可疑的DApp交互。
還敦促錢包提供商在委托過程中顯示明確的警告,這可以作為用戶免受網絡釣魚企圖的額外保護。
