Como a atualização do Pectra foi ativada em 7 de maio, muitos usuários se esforçaram para permitir contas inteligentes EIP-7702, sem saber os riscos anexados.
A atualização permite que as contas de propriedade externamente (EOAs) atuem brevemente como carteiras inteligentes detrac, delegando o controle por meio de uma mensagem assinada. Enquanto o recurso aprimora a experiência do usuário, o EIP-7702 também expôs os usuários a novos riscos de segurança que exigem atenção urgente.
De acordo com a Goplus Security, os dados na cadeia do BundleBear.com revelaram mais de 10 mil endereços usando contas inteligentes.
Usando a descompilação do códigotracT, Goplus descobriu que, uma vez que os usuários autorizam o Delegador Malicioso com o 0x930FCC37D6042C79211EE18A02857CB1FD7F0D0B, qualquer ETH transferido para sua conta obtém o endereço dematicredirecionado para o Scammer.
Depois de analisar o código, foi revelado que, após a autorização, todo o ETH é retirado automaticamente para servir a carteira 0x000085BAD no que foidentcomo um mecanismo sofisticado de roubo.
Está claro que o golpista está explorando o trust que as pessoas têm na do Pectra . Embora a ameaça seja muito real, algumas carteiras líderes como o Metamask foram capazes de integrar com segurança o EIP-7702.
A GoPlus Security pediu aos usuários que desejam permanecer seguros para confiar apenas em interfaces da carteira para obter 7702 recursos e tratar qualquer link ou e -mail externo solicitando atualizações de conta inteligente como golpes.
Concorda-se que o EIP-7702 fará maravilhas para a flexibilidade de UX & Transaction da Ethereum, mas é crucial permanecer alerta e nunca autorizar por meio de links externos. A Goplus Security adverte que, se alguém o empurrar para "atualizar" fora da sua carteira, é 100% uma farsa.
Outras medidas de segurança recomendadas incluem nunca confiar em links de email/URL para a autorização 7702, sempre verificando o código-fontetrac, sendo mais cauteloso com ostracnão-abertos e certificados de verificar os endereços de autorização.
❗warning❗
🚨 Delegador Top 7702 revelado como golpe de phishing 🚨
À medida que milhares correm para ativar as contas inteligentes do EIP-7702 após a atualização do Pectra, surgiram vulnerabilidades perigosas. Embora seja revolucionário paratracda conta da conta, os riscos urgentes de segurança precisam de atenção.
Detalhes ⬇️
- GoPlus Security 🚦 (@GopLusSecurity) 20 de maio de 2025
Antes da atualização do Pectra, as carteiras de hardware eram consideradas mais seguras. Mas, de acordo com Yehor Rudytsia, pesquisador na cadeia de Hacken, esse não é mais o caso.
Rudytsia diz que as carteiras de hardware agora estão no mesmo risco que as carteiras quentes da perspectiva de assinar mensagens maliciosas. "Se feito, todos os fundos desapareceram em um momento", disse ele.
Embora existam maneiras de permanecer seguro, todos eles exigem vigilância por parte dos usuários.
"Os usuários não devem assinar as mensagens que não entendem", recomendou Rudytsia. Ele também pediu aos desenvolvedores da carteira que forneçam avisos claros quando os usuários são solicitados a assinar uma mensagem de delegação.
Os usuários precisam ser especialmente cautelosos com os novos formatos de assinatura de delegação introduzidos pelo EIP-7702, pois não são compatíveis com os padrões existentes EIP-191 ou EIP-712. Essas mensagens geralmente aparecem como hashes simples de 32 bytes e podem ignorar os avisos normais da carteira.
"Se uma mensagem incluir sua conta nonce, provavelmente está afetando sua conta diretamente", alertou Usman. "Mensagens normais de assinatura ou compromissos offchain geralmente não envolvem seu nonce."
Pior ainda, o EIP -7702 permite assinaturas com Chain_id = 0, o que significa que a mensagem assinada pode ser repetida em qualquer cadeia compatível com Ethereum. Isso significa que pode ser usado em qualquer lugar.
Comparados às carteiras de hardware, as carteiras multi -signature permanecem mais seguras sob a da Pectra , graças à necessidade de vários signatários. As carteiras de chave única-hardware ou não-terão que adotar novas ferramentas de análise de assinatura e bandeira vermelha para evitar possíveis exploração.
Academia Cryptopolitan: Cansado de balanços de mercado? Saiba como DeFi pode ajudá -lo a criar renda passiva constante. Registre -se agora