Bản nâng cấp “Pectra” gần đây của Ethereum, với mục đích cải thiện trải nghiệm người dùng, đang bị các cuộc tấn công tự động “sweeper” lợi dụng để rút tiền từ ví của những người dùng thiếu cảnh giác. Đây là cảnh báo từ phân tích của Wintermute.
Hơn 80% ủy quyền EIP-7702, một tính năng được giới thiệu trong bản nâng cấp, đã bị khai thác bởi một đoạn mã độc duy nhất, theo Wintermute.
Công ty bảo mật blockchain Scam Sniffer cho biết, một người dùng đã mất gần 150.000 USD do một cuộc tấn công phishing được thực hiện bởi đoạn mã này.
Theo phân tích của công ty giao dịch tiền điện tử Wintermute, bản nâng cấp Ethereum gần đây đang bị các đối tượng tấn công lợi dụng để rút tiền từ ví người dùng. EIP-7702, một nâng cấp trừu tượng hóa tài khoản có trong hard fork “Pectra” của Ethereum, được thiết kế để cải thiện trải nghiệm người dùng bằng cách cho phép ví hoạt động tạm thời như các smart contract, gộp nhiều hành động, tài trợ phí gas, sử dụng passkey hoặc xác thực xã hội, hoặc thực hiện giới hạn chi tiêu trong một giao dịch duy nhất. EIP-7702 ban đầu được đề xuất và ủng hộ bởi đồng sáng lập Ethereum, Vitalik Buterin.
🚨 ALERT: An address upgraded to EIP-7702 lost $146,551 through malicious batched transactions in phishing attack. pic.twitter.com/7GbamqOZVI
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) May 24, 2025
Tuy nhiên, theo bảng điều khiển Dune của Wintermute, hơn 80% ủy quyền EIP-7702 đã được cấp cho nhiều hợp đồng với các phiên bản sao chép của cùng một đoạn mã cơ bản, tự động “quét” các ví có khóa bị lộ và gửi nội dung cho kẻ tấn công đã triển khai hợp đồng. Wintermute đặt biệt danh cho hợp đồng này là “CrimeEnjoyor”. Wintermute viết trên X: “Hợp đồng CrimeEnjoyor ngắn gọn, đơn giản và được sử dụng rộng rãi. Đoạn bytecode sao chép này hiện chiếm phần lớn trong tất cả các ủy quyền EIP-7702. Thật nực cười, ảm đạm và hấp dẫn cùng một lúc.”
Công ty bảo mật blockchain Scam Sniffer gần đây đã xác định một chiếc ví mất gần 150.000 USD thông qua một giao dịch hàng loạt độc hại có liên kết đến dịch vụ lừa đảo Inferno Drainer, một “nỗi phiền toái” lâu năm trong không gian bảo mật crypto.
While EIP-7702 brings new convenience, it also introduces new risks
— Wintermute (@wintermute_t) May 30, 2025
Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9
Công ty bảo mật SlowMist cũng đã nêu chi tiết những rủi ro của việc áp dụng EIP-7702 trong một phân tích gần đây. SlowMist viết: “Các nhà cung cấp dịch vụ ví nên nhanh chóng hỗ trợ các giao dịch EIP-7702 và, khi người dùng ký ủy quyền, nên hiển thị nổi bật hợp đồng mục tiêu để giảm thiểu rủi ro tấn công phishing.” Yu Xian, người sáng lập SlowMist, viết trên X: “Như chúng tôi đã dự đoán, các băng nhóm phishing đã bắt kịp. Mọi người nên cảnh giác, cẩn thận rằng tài sản trong ví của bạn sẽ bị lấy đi.”
Mặc dù EIP-7702 giới thiệu một cách thức tấn công tự động mới, chuyên gia bảo mật Taylor Monahan cho biết vấn đề chính là sự xâm phạm khóa riêng tư của người dùng. Monahan nói với The Block: “Đó không thực sự là vấn đề 7702, đó là vấn đề tương tự mà crypto đã gặp phải kể từ ngày đầu tiên: người dùng cuối gặp khó khăn trong việc bảo mật khóa riêng tư của họ. 7702 chỉ mở ra một loạt các khả năng thú vị giúp việc quét địa chỉ hiệu quả về chi phí hơn và bớt tẻ nhạt hơn.”