EIP-7702 成犯罪工具?
以太坊最近一次「Pectra」硬分叉升級中,新增了由共同創辦人 Vitalik Buterin 提出的 EIP-7702 功能,原意是讓用戶錢包能暫時變成類似智能合約的形式,進而實現更便利的操作,例如一次完成多步交易、讓他人代付 Gas 費、設定消費上限、使用社群帳號驗證登入等等。
但據加密交易公司 Wintermute 的分析,這項本該提升用戶體驗的功能,如今卻大多被駭客拿來「清空錢包」——在所有使用 EIP-7702 的案例中,有超過 80% 都是被設計來轉移他人資產到駭客錢包的惡意程式。
被複製濫用的「CrimeEnjoyor」合約
根據 Wintermute 的分析,EIP-7702 推出後,絕大多數的授權操作(delegation)其實來自私鑰早已外洩的錢包。這些駭客透過釣魚等手法竊取使用者私鑰後,再利用受害者的身份,授權一個名為「CrimeEnjoyor」的惡意合約控制錢包資產。該合約一旦獲得授權,就會自動將錢包內的資產全部「掃空」,轉移到駭客手中。
根據 Zombit 此前報導,有錢包因此損失近 15 萬美元,該個案被追查到與臭名昭著的「Inferno Drainer」詐騙工具包有關,這是近年在鏈上詐騙案中常見的一種服務。
安全專家:不是 EIP-7702 的錯
區塊鏈安全公司 SlowMist 也發出警告,建議各大錢包服務商應盡快更新支援 EIP-7702,同時在用戶簽署授權時清楚顯示對象合約,降低釣魚風險。
SlowMist 創辦人余弦在 X 上表示:
「就像我們預測的,釣魚集團已經跟上來了。每個人都要保持警覺,否則你錢包裡的資產可能一夜蒸發。」
但資安專家 Taylor Monahan 則指出,問題的根本不是 EIP-7702,而是加密貨幣長年以來最難解的問題——用戶無法好好保護自己的私鑰。
「7702 只是讓攻擊變得更有效率、更方便而已,但本質還是私鑰外洩。」
