Новости Ethereum: Как хакеры используют EIP-7702 для опустошения кошельков

24 мая в новостях Ethereum появилось сообщение о том, что кошелек, только что активированный с помощью EIP-7702, потерял около $150 000, когда мошенники обманом заставили пользователя одобрить вредоносную партию переводов токенов.

Фишинговые атаки на криптовалюты участились. Только в апреле 2025 года мошенники выманили около $5,3 млн. из 7 565 кошельков. Теперь злоумышленники используют последнее обновление Pectra в Ethereum – а именно EIP-7702 – для опустошения пользовательских счетов.

Аналитики по безопасности предупреждают, что этот новый эксплойт показывает, насколько быстро хакеры адаптируются к новым возможностям смарт-кошелька Ethereum.

Ethereum EIP-7702 и обновление Pectra

EIP-7702 – это ключевая функция обновления Ethereum “Pectra”, которое выйдет в мае 2025 года. По сути, она позволяет обычным кошелькам (Externally Owned Accounts, или EOA) временно действовать как счета смарт-контрактов во время транзакции.

Технически, пользователь может прикреплять к своему адресу небольшие фрагменты кода контракта для одной транзакции. Это дает обычным кошелькам расширенные преимущества “абстракции учетной записи”: например, пользователь теперь может совершать несколько переводов в одной транзакции, позволить кому-то другому спонсировать его оплату за бензин или использовать альтернативные схемы подписи.

Такие провайдеры кошельков, как Ambire и Trust Wallet, уже внедрили поддержку EIP-7702 в Ethereum. Генеральный директор Ambire назвал его “самым большим обновлением UX” в Ethereum, поскольку он открывает возможности смарт-счетов, не заставляя пользователей создавать новые контрактные кошельки.

Однако эксперты по безопасности предупреждают, что EIP-7702 также открывает новые возможности для атак. Позволяя кошельку выполнять пользовательский код, мошенники теоретически могут упаковать всю процедуру выкачивания денег из кошелька в один шаг одобрения.

Как сказал один из разработчиков, EIP-7702 “предоставил фишинговым кампаниям новую возможность опустошать целые кошельки за один раз”. Короче говоря, функции, призванные повысить гибкость, могут обернуться обратным эффектом, если пользователи не будут предельно осторожны.

Новости Ethereum: Мошенничество Inferno Drainer на $150K через EIP-7702

Опасность стала реальной 24 мая 2025 года. Scam Sniffer – платформа Web3 для борьбы с мошенничеством – сообщила, что из кошелька MetaMask пользователя, недавно обновившегося до EIP-7702, было выкачано около $146 551.

Компания SlowMist, специализирующаяся на безопасности блокчейна, быстро проанализировала этот случай и определила, что виновником была Inferno Drainer, печально известная фишинговая банда.

Вместо того, чтобы перехватить адрес кошелька или украсть начальные фразы, злоумышленники воспользовались новой системой “делегаторов” в обновлении EIP-7702 для Ethereum, как сообщается в новостях. Они убедили пользователя авторизовать доверенный контракт делегатора MetaMask (часть EIP-7702), который хакеры уже зарегистрировали.

Когда жертва подписывала, казалось бы, обычную транзакцию, она запускала невидимый вызов “выполнить”, который в фоновом режиме запускал партию мошеннических переводов.

В результате произошел бесшумный пакетный слив токенов. На скриншоте ниже (из журналов Scam Sniffer) вредоносные пакетные одобрения выделены красным цветом – десятки токенов были одобрены для передачи одним махом.

Поскольку все это происходило внутри делегированного смарт-кошелька, пользователь не видел никаких очевидных всплывающих окон для одобрения каждого токена. По сути, жертва неосознанно давала злоумышленникам полное разрешение на перемещение десятков различных активов за один шаг.

Как работает фишинговая афера Inferno Drainer

На приборной панели мониторинга ScamSniffer (вверху) показано, как сразу несколько токенов были одобрены с помощью одной пакетной транзакции. Именно так сработала фишинговая афера Inferno Drainer: вызов MetaMask жертвы “выполнить” беззвучно обработал пакет вредоносных одобрений, позволив хакерам выманить около $150 000 в монетах.

Ю Сянь, основатель SlowMist, объяснил схему: фишинговая группа “использовала делегированный кошелек MetaMask – уже авторизованный в соответствии с EIP-7702 – для бесшумного одобрения передачи токенов через процесс пакетной авторизации”.

По его словам, “фишинговая банда использует этот механизм для выполнения операций пакетной авторизации токенов, связанных с адресом жертвы”.

Другими словами, злоумышленникам не нужно было переписывать адрес пользователя на поддельный; они просто воспользовались кодом смарт-контракта MetaMask.

Сиань отметил, что это более сложное мошенничество, чем предыдущие: EOA-адрес пользователя остался неизменным, а вредоносную партию обрабатывал контракт MetaMask EIP-7702 Delegator.

Анализ SlowMist подчеркивает, что этот эксплойт был “очень креативным” – он использовал законную функцию кошелька неожиданным образом.

Сама группа Inferno Drainer заявила, что недавно закрылась, но Сиань отметил, что ее вредоносное ПО все еще активно и за последние шесть месяцев принесло более 9 миллионов долларов. Взлом 24 мая соответствует их схеме мошенничества с многоцепочечными кошельками, но с новым поворотом благодаря обновлению EIP-7702 в Ethereum.

Тенденции фишинга и риски, связанные с EIP-7702

Эта атака “инферно” не была единичным случаем. Криптофишинг продолжает свирепствовать. В отчете Scam Sniffer за апрель 2025 г. зафиксировано около $5,29 млн, потерянных в результате фишинговых атак в этом месяце, что на 26% больше, чем в марте (7 565 жертв). (Примечательно, что апрельское количество жертв снизилось на 17% по сравнению с мартовским показателем в $6,37 млн, но при этом пострадало гораздо больше пользователей).

В прошлом году было еще хуже: в 2024 году с помощью фишинга кошельков было украдено около 494 миллионов долларов – на 67% больше, чем в 2023 году, по данным Scam Sniffer. Эти потери подчеркивают, что злоумышленники продолжают изобретать новые трюки даже тогда, когда кошельки становятся все более защищенными.

Эксплойт Ethereum EIP-7702 – это последняя эволюция. Традиционный фишинг часто обманывают жертв, заставляя их одобрить перевод одного токена или отправить средства на подставной адрес.

В отличие от этого, метод банды Inferno позволяет им объединить десятки одобрений токенов в один скрытый шаг. Как отмечает SlowMist, это знаменует собой сдвиг: злоумышленники теперь интегрируют официальные обновления Ethereum в свои аферы.

Ю Сянь предупредил, что поскольку пользователи полагаются на продвинутые функции кошелька, такие как EIP-7702, фишеры видят “новые возможности” для отъема средств. Короче говоря, привычные группы догоняют новые технологии.

Помимо Inferno Drainer, в мае появились и другие схемы EIP-7702. 20 мая компания GoPlus Security (через BlockBeats) выпустила предупреждение о вредоносном адресе “делегатора” EIP-7702.

Если пользователь авторизует этот адрес, он мгновенно переведет все ETH в кошельке на счет злоумышленника. Компания GoPlus призвала пользователей включать EIP-7702 только через официальные пользовательские интерфейсы кошельков и отказываться от любых нежелательных ссылок на обновление в электронных письмах.

По их словам, “авторизуйте функцию 7702 только через официальное приложение кошелька… никогда не нажимайте на внешние ссылки или опцию” обновить “в электронных письмах, и всегда проверяйте исходный код контракта”. Эти меры предосторожности повторяют совет SlowMist: всегда проверяйте, откуда происходят транзакции, и проводите аудит своих разрешений.

Советы экспертов и рекомендации пользователей

Фирмы по безопасности подчеркивают бдительность. Scam Sniffer рекомендует дважды проверять любой сайт или контракт перед подписанием. Например, они советуют пользователям проверять сайты перед входом в систему или одобрением транзакций, регулярно проверять права доступа к токенам и не переходить по непроверенным ссылкам.

Ю Сянь из компании SlowMist делает аналогичные предупреждения: “Каждый должен быть бдительным… будьте осторожны, в случае мошенничества активы в Вашем кошельке будут отобраны”.

Он особенно настоятельно рекомендует пользователям пересмотреть все авторизации токенов и следить за незнакомыми делегациями Ethereum EIP-7702, привязанными к их кошельку. В недавнем интервью Сиань также предупредил пользователей криптовалют: “Не доверяйте только одному источнику. Когда речь идет о деньгах, всегда устанавливайте еще один надежный источник для проверки”.

На практике это означает перепроверять серверы Discord, сообщения в Twitter или ссылки на электронные письма по официальным каналам, и никогда не спешить подписывать случайную подсказку.

The post Новости Ethereum: Как хакеры используют EIP-7702 для опустошения кошельков appeared first on The Coin Republic.