由于Pectra升级于5月7日激活,因此许多用户争先恐后地启用EIP-7702 Smart帐户,这不知道所带来的风险。
该升级使外部拥有的帐户(EOAS)通过通过签名的消息委派控制来简要地充当智能trac钱包。尽管该功能增强了用户体验,但EIP-7702还使用户面临需要紧急关注的新安全风险。
根据Goplus安全性,Bundlebear.com的链链数据已揭示了超过10K的地址。
Goplus使用CONtracT CODE代码的解说,一旦用户授权使用0x930fcc37d6042c79211EE18A02857CB1FD7F0D0B地址将恶意代表们授权,任何传输到其帐户中的ETH都会将自动matic转移到Scammer的地址上。
在分析了代码后,据透露,在授权后,所有ETH都会自动重新定向以骗子钱包0x000085bad,我在我认为是一种复杂的盗窃机构中所dent的。
Pectra信任。虽然威胁非常真实,但一些领先的钱包,例如MetAmask,已经能够安全地集成EIP-7702。
Goplus Security敦促想要保持安全的用户仅信任7702功能的钱包界面,并处理任何外部链接或电子邮件,要求智能帐户升级作为骗局。
同意,EIP-7702将为 Ethereum的UX和交易灵活性创造奇迹,但保持警惕并且从不通过外部链接进行授权至关重要。 Goplus Security警告说,如果有人推动您在钱包外“升级”,那是100%的骗局。
其他推荐的安全措施包括永不信任7702授权的电子邮件/URL链接,始终验证CONtracT源代码,对非开放的trac物持续谨慎,并确保仔细检查授权地址。
❗战争
🚨前7702名代表们透露为网络钓鱼骗局🚨
随着成千上万的急于在Pectra升级后启用EIP-7702智能帐户,危险的漏洞已经出现。虽然革命性的账户abstrac,但紧急安全风险需要关注。
详细信息⬇️
- Goplus安全🚦(@GoplusseCurity) 2025年5月20日
在更新Pectra之前,硬件钱包被认为更安全。但是,根据Hacken的链链研究人员Yehor Rudytsia的说法,情况不再如此。
Rudytsia说,从签署恶意消息的角度来看,硬件钱包与热钱包的风险相同。他说:“如果完成的话,所有资金都在暂时消失了。”
尽管有一些保持安全的方法,但它们都需要对用户的警惕。
Rudytsia建议:“用户不应签署他们不了解的消息。”他还敦促Wallet开发人员在要求用户签署委派消息时提供明确的警告。
用户需要特别谨慎对EIP-7702引入的新代表团签名格式,因为它们与现有的EIP-191或EIP-712标准不兼容。这些消息通常显示为简单的32字节哈希,并且可能绕过正常的钱包警告。
乌斯曼警告说:“如果一条消息包括您的帐户nonce,它可能会直接影响您的帐户。” “普通的登录消息或链链承诺通常不涉及您的nonce。”
更糟糕的是,EIP -7702允许使用Chain_id = 0的签名,这意味着可以在任何 Ethereum兼容的链上重播签名的消息。这意味着它可以在任何地方使用。
与硬件钱包相比,由于对多个签名者的要求,在Pectra升级下,多符号钱包在Pectra单键钱包(硬件或其他方式)将不得不采用新的签名解析和红色粘贴工具,以防止潜在的剥削。
密码大都会学院:厌倦了市场波动?了解DeFi帮助您建立稳定的被动收入。立即注册