Нещодавно впроваджена функція смартгаманця Ethereum, EIP-7702, перебуває під пильною увагою після того, як дослідники з безпеки блокчейну виявили її зловживання кіберзлочинцями. Після оновлення Pectra кілька постачальників гаманців почали інтегрувати функції EIP-7702.
Аналітики з Wintermute, фірми з криптотрейдингу, зазначили, що зловмисники використали 97 % делегацій гаманців EIP-7702 для розгортання контрактів, призначених для виведення коштів з необачних користувачів.
Хакери використовують EIP-7702 Ethereum для автоматизації масового зливу криптогаманців
EIP-7702 тимчасово дозволяє зовнішньо керованим обліковим записам (EOA) функціонувати як смартконтрактні гаманці. Оновлення надає можливості, такі як пакетування транзакцій, обмеження витрат, інтеграція ключів доступу та відновлення гаманця — усе це без зміни адрес гаманців.
Хоча ці оновлення спрямовані на покращення зручності використання, зловмисники використовують стандарт для прискорення вилучення коштів.
Замість того, щоб вручну переміщувати ETH з кожного скомпрометованого гаманця, зловмисники тепер авторизують контракти, які автоматично пересилають будь-який отриманий ETH на їхні власні адреси.
«Без сумніву, зловмисники є одними з перших, хто використовує нові можливості. 7702 ніколи не мав бути панацеєю, але він має чудові випадки використання», — сказав Рахул Румалла, головний директор з продуктів у Safe, зазначив.
Аналіз Wintermute показує, що більшість цих делегацій гаманців вказують на ідентичні кодові бази, призначені для «вимітання» ETH з скомпрометованих гаманців.
Ці «вимітальники» автоматично перераховують будь-які вхідні кошти на адреси, контрольовані зловмисниками. З майже 190 000 досліджених делегованих контрактів понад 105 000 були пов’язані з незаконною діяльністю.
Коффі, старший аналітик даних у Base Network, пояснив, що понад мільйон гаманців взаємодіяли з підозрілими контрактами минулими вихідними.
Він уточнив, що зловмисники не використовували EIP-7702 для злому гаманців, а для спрощення крадіжки з гаманців з уже розкритими приватними ключами.
Аналітик додав, що одне з видатних впроваджень включає функцію отримання, яка запускає перекази ETH в момент надходження коштів у гаманець, усуваючи потребу в ручному виведенні.
Юй Сянь, засновник фірми з безпеки блокчейну SlowMist, підтвердив, що зловмисники є організованими групами крадіжок, а не типовими фішинговими операторами. Він зазначив, що автоматизація EIP-7702 робить його особливо привабливим для масштабних експлойтів.
«Новий механізм EIP-7702 найчастіше використовується групами, що крадуть токени (не фішинговими групами), для автоматичного переказу коштів з адрес гаманців з витоками приватних ключів/мнемонік», — заявив він.
Незважаючи на масштаб операції, поки що немає підтверджених прибутків.
Дослідник з Wintermute зазначив, що зловмисники витратили близько 2,88 ETH на авторизацію понад 79 000 адрес. Одна адреса самостійно виконала майже 52 000 авторизацій, проте цільова адреса не отримала жодних коштів.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.
