Уязвимость EIP-7702 Pectra: тысячи пользователей рискуют из-за фишинга

Срочный риск безопасности: EIP-7702 Pectra уже заражен фишингом.

С момента активации обновления Pectra 7 мая многие пользователи стремились активировать смарт-аккаунты EIP-7702, не подозревая о связанных рисках.

Обновление позволяет внешним аккаунтам (EOA) временно действовать как кошельки смарт-контрактов, делегируя контроль с помощью подписанного сообщения. Хотя функция улучшает пользовательский опыт, EIP-7702 также подверг пользователей новым рискам безопасности, требующим срочного внимания. Сообщается, что один из основных делегаторов 7702 якобы является фишингом.

Согласно данным GoPlus Security, с помощью ончейн-данных с bundlebear.com было выявлено более 10 тысяч адресов, использующих смарт-аккаунты. GoPlus обнаружил, что после авторизации злонамеренного адреса делегатора любые ETH, переведенные на их аккаунт, автоматически перенаправляются на адрес мошенника. Источник: GoPlus Security.

Используя декомпиляцию кода контракта, GoPlus выяснил, что после авторизации злонамеренного делегатора с адресом 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b любые ETH, переведенные на их аккаунт, автоматически перенаправляются на адрес мошенника.

После анализа кода стало известно, что после авторизации все ETH автоматически перенаправляются на кошелек мошенника 0x000085bad в том, что было определено как сложный механизм кражи. Каждый ETH, переведенный на кошельки жертв, автоматически перенаправляется на кошелек мошенника 0x000085bad. Источник: GoPlus Security.

Очевидно, что мошенник использует доверие людей к обновлению Pectra. Хотя угроза очень реальна, некоторые ведущие кошельки, такие как MetaMask, смогли безопасно интегрировать EIP-7702.

GoPlus Security призывает пользователей, которые хотят оставаться в безопасности, доверять только интерфейсам кошельков для функций 7702 и считать любые внешние ссылки или электронные письма, просящие об обновлении смарт-аккаунтов, мошенничеством.

Согласовано, что EIP-7702 будет чудесным для UX Ethereum и гибкости транзакций, но крайне важно оставаться бдительными и никогда не авторизовываться через внешние ссылки. GoPlus Security предупреждает: если кто-то заставляет вас «обновить» вне вашего кошелька, это намного вероятнее всего – мошенничество.

Другие рекомендованные меры безопасности включают в себя: никогда не доверяйте электронным письмам/URL-ссылкам для авторизации 7702, всегда проверяйте исходный код контракта, будьте особенно осторожны с неоткрытыми контрактами и обязательно проверяйте адреса авторизации внимательно.❗ПРЕДУПРЕЖДЕНИЕ❗

🚨 Основной делегатор 7702 выявлен как фишинг 🚨

Тысячи пользователей спешат активировать смарт-аккаунты EIP-7702 после обновления Pectra, но появились опасные уязвимости. Хотя это революционно для абстракции аккаунтов, срочные риски безопасности требуют внимания.

Детали ⬇️

— GoPlus Security 🚦 (@GoPlusSecurity) 20 мая 2025

Аппаратные кошельки теперь не безопаснее

До обновления Pectra аппаратные кошельки считались более безопасными. Но, по словам Егорa Рудыцкого, исследователя на основе блокчейна из Hacken, это больше не так.

Рудыцкий говорит, что аппаратные кошельки теперь находятся под таким же риском, как и горячие кошельки с точки зрения подписания вредоносных сообщений. «Если это произойдет, все средства пропадут в одно мгновение», — сказал он.

Хотя существуют способы оставаться в безопасности, они все требуют бдительности со стороны пользователей.

«Пользователи не должны подписывать сообщения, которые они не понимают», — советует Рудыцкий. Он также призвал разработчиков кошельков предоставлять четкие предупреждения, когда пользователи просят подписать сообщение о делегации.

Пользователи должны быть особенно осторожны с новыми форматами подписей делегации, введенными EIP-7702, поскольку они несовместимы с существующими стандартами EIP-191 или EIP-712. Эти сообщения часто выглядят как простые 32-байтовые хэши и могут обойти обычные предупреждения кошельков.

«Если сообщение включает ваш номер аккаунта, оно, вероятно, затрагивает ваш аккаунт напрямую», — предостерегает Усман. «Обычные сообщения для входа или внеблокчейн-обязательства, как правило, не касаются вашего номера аккаунта».

Еще хуже то, что EIP-7702 позволяет создавать подписи с chain_id = 0, означая, что подписанное сообщение может быть воспроизведено на любой совместимой с Ethereum цепи. Это означает, что его можно использовать где угодно.

По сравнению с аппаратными кошельками, многоподписные кошельки остаются более безопасными после обновления Pectra, благодаря их требованию нескольких подписантов. Одноподписные кошельки — аппаратные или иные — должны будут принять новые инструменты анализа подписей и предупреждения о потенциальной эксплуатации.