Обновление Ethereum Pectra использовалось ботами, опустошающими кошельки: отчет

Эфириумпоследнее Модернизация «Пектра» Введено несколько функций для улучшения взаимодействия пользователей с сетью. Одним из самых обсуждаемых изменений стало EIP-7702, предложение, поддержанное соучредителем Ethereum Виталик Бутерин. 

Эта функция позволяет кошелькам временно вести себя как смарт-контракты, обеспечивая пакетные транзакции, спонсорство газом, социальную аутентификацию и лимиты расходов.

Тем не менее, в соответствии с Зимнее Безмолвие, ведущей криптотрейдинговой компании, это новое обновление открыло дверь опасной волне автоматизированные атаки с помощью очистителей, опустошая кошельки ничего не подозревающих пользователей. И эти атаки быстро распространяются.

Статья с благими намерениями

EIP-7702 был призван сделать Ethereum более удобным для пользователя.

Пользователи могли подписывать всего одну транзакцию, чтобы выполнить несколько действий одновременно — ранее это было возможно только с помощью смарт-контрактов. Например, пользователь мог одобрить токен, обменять его и отправить вывод на другой кошелёк одним махом.

Он также предложил улучшения качества жизни, такие как спонсирование газа для кого-то другогоили используя системы социального входа для аутентификации кошельков, что упрощает взаимодействие обычных пользователей с Ethereum без необходимости ломать голову над сид-фразами.

Однако то, что было разработано для помощи пользователям, быстро превратилось в оружие злоумышленников.

Рост CrimeEnjoyor: вектор атаки методом копирования и вставки

Wintermute недавно опубликовал анализ, показывающий, как EIP-7702 используется ботами в так называемых атаки подметания.

Инструмент выбора? Широко тиражируемый контракт, прозванный Уинтермутом. «CrimeEnjoyor».

Вот как это работает:

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Преступники внедряют вредоносные контракты, используя простой байт-код, скопированный в тысячи экземпляров. Эти контракты предназначены для автоматически выводить средства с кошельков, чьи приватные ключи были скомпрометированы. Как только эти кошельки получают ETH, контракты мгновенно пересылают средства на адрес злоумышленника.

Исследование Уинтермьюта, доступное через Приборная панель Дюны, показывает, что более 97% делегаций EIP-7702 были связаны с этими идентичными контрактами.

«Контракт CrimeEnjoyor короткий, простой и широко используется», — отметил Wintermute в X. «Этот скопированный байт-код теперь отвечает за большинство делегирований EIP-7702. Это одновременно забавно, мрачно и увлекательно».

Это не просто проблема смарт-контрактов

В то время как EIP-7702 является транспортным средством, первопричиной остается скомпрометированные закрытые ключи.

Wintermute и другие эксперты по безопасности подчёркивают, что EIP-7702 сам по себе не опасен. Скорее, он упрощает и ускоряет кражу средств после взлома кошелька.

Как эксперт по безопасности Тейлор Монахан отметил:

«На самом деле это не проблема 7702. Это та же проблема, которая существует в криптовалютах с самого начала: конечным пользователям сложно защитить свои закрытые ключи».

EIP-7702, как сообщается, сделал его более эффективный для злоумышленников, желающих очистить уязвимые кошельки.

Реальные потери: пример на 146,550 XNUMX долларов

23 мая пользователь, сам того не подозревая, подписал несколько вредоносных пакетных транзакций, используя EIP-7702. Результат? Потеря $146,550, по данным компании, занимающейся безопасностью блокчейнов Скам-сниффер.

Эти вредоносные транзакции были связаны с Адский осушитель, известный поставщик услуг мошенничества, который уже много лет активно работает в сфере криптовалют.

Неудобная правда о будущем Ethereum

Wintermute пошел еще дальше, реверсировав вредоносный байт-код в человекочитаемый код SolidityЭто упростило выявление и маркировку вредоносных контрактов. Они даже публично проверили код, чтобы повысить осведомлённость.

Сам код содержит предупреждение в виде открытого текста:

«Этот контракт используется мошенниками для автоматического изъятия всех входящих ETH. НЕ ОТПРАВЛЯЙТЕ ETH».

Но, несмотря на предупреждение, контракт остаётся в силе. Пользователи, не понимающие, что подписывают, подвергаются серьёзному риску, особенно при использовании незнакомых dApp или инструментов, предлагающих делегировать управление в соответствии с EIP-7702.

Другая охранная фирма, SlowMist, подтвердил растущая угроза. Фирма призвала поставщики услуг кошелька быстро адаптироваться и поддерживать Предупреждения о делегировании EIP-7702.

«Поставщики услуг кошельков должны оперативно поддерживать транзакции EIP-7702 и, когда пользователи подписывают делегирования, должны четко указывать целевой контракт, чтобы снизить риск фишинговых атак», — заявил SlowMist.

Другие возможности Pectra теперь остаются в тени

Обновление Pectra, которое было запущено 7 мая в эпоха 364032, также включены два других важных изменения:

• EIP-7251: Увеличен лимит ставок валидатора с От 32 ETH до 2,048 ETH, повышая эффективность институциональных валидаторов.
• Улучшения производительности и масштабируемости под капотом.

Однако из-за злоупотреблений EIP-7702 эти другие обновления были в значительной степени отодвинуты на второй план.

На сегодняшний день более 12,329 7702 транзакций EIP-XNUMX были казнены, большинство из них были связаны с делегациями, подвергшимися злоупотреблениям со стороны ботов-очистителей.

Так что же делать?

В то время как сам EIP-7702 является выбрать в, и не обязательно для основных транзакций, потребность в образование, прозрачность и улучшения безопасности на уровне кошелька актуальнее, чем когда-либо.

Пользователи должны:

• Никогда не подписывайте незнакомые сделки, не разобравшись в условиях договора назначения.
• Используйте кошельки, которые отображают полную информацию о контракте до подтверждения.
• Относитесь к любым запросам на делегирование полномочий с особой осторожностью, особенно если они связаны с несколькими этапами.

Для разработчиков Wintermute предлагает публичная проверка контрактов и облегчает обнаружение опасных шаблонов. Компания считает, что более агрессивная маркировка вредоносной активности может защитить новых пользователей и снизить риск фишинга.