Нещодавно впроваджена функція смартгаманця Ethereum, EIP-7702, перебуває під пильною увагою після того, як дослідники з безпеки блокчейну виявили її зловживання кіберзлочинцями. Після оновлення Pectra кілька постачальників гаманців почали інтегрувати функції EIP-7702.
Аналітики з Wintermute, фірми з криптотрейдингу, зазначили, що зловмисники використали 97 % делегацій гаманців EIP-7702 для розгортання контрактів, призначених для виведення коштів з необачних користувачів.
Хакери використовують EIP-7702 Ethereum для автоматизації масового зливу криптогаманців
EIP-7702 тимчасово дозволяє зовнішньо керованим обліковим записам (EOA) функціонувати як смартконтрактні гаманці. Оновлення надає можливості, такі як пакетування транзакцій, обмеження витрат, інтеграція ключів доступу та відновлення гаманця — усе це без зміни адрес гаманців.
Хоча ці оновлення спрямовані на покращення зручності використання, зловмисники використовують стандарт для прискорення вилучення коштів.
Замість того, щоб вручну переміщувати ETH з кожного скомпрометованого гаманця, зловмисники тепер авторизують контракти, які автоматично пересилають будь-який отриманий ETH на їхні власні адреси.
«Без сумніву, зловмисники є одними з перших, хто використовує нові можливості. 7702 ніколи не мав бути панацеєю, але він має чудові випадки використання», — сказав Рахул Румалла, головний директор з продуктів у Safe, зазначив.
Аналіз Wintermute показує, що більшість цих делегацій гаманців вказують на ідентичні кодові бази, призначені для «вимітання» ETH з скомпрометованих гаманців.
Ці «вимітальники» автоматично перераховують будь-які вхідні кошти на адреси, контрольовані зловмисниками. З майже 190 000 досліджених делегованих контрактів понад 105 000 були пов’язані з незаконною діяльністю.
Коффі, старший аналітик даних у Base Network, пояснив, що понад мільйон гаманців взаємодіяли з підозрілими контрактами минулими вихідними.
Він уточнив, що зловмисники не використовували EIP-7702 для злому гаманців, а для спрощення крадіжки з гаманців з уже розкритими приватними ключами.
Аналітик додав, що одне з видатних впроваджень включає функцію отримання, яка запускає перекази ETH в момент надходження коштів у гаманець, усуваючи потребу в ручному виведенні.
Юй Сянь, засновник фірми з безпеки блокчейну SlowMist, підтвердив, що зловмисники є організованими групами крадіжок, а не типовими фішинговими операторами. Він зазначив, що автоматизація EIP-7702 робить його особливо привабливим для масштабних експлойтів.
«Новий механізм EIP-7702 найчастіше використовується групами, що крадуть токени (не фішинговими групами), для автоматичного переказу коштів з адрес гаманців з витоками приватних ключів/мнемонік», — заявив він.
Незважаючи на масштаб операції, поки що немає підтверджених прибутків.
Дослідник з Wintermute зазначив, що зловмисники витратили близько 2,88 ETH на авторизацію понад 79 000 адрес. Одна адреса самостійно виконала майже 52 000 авторизацій, проте цільова адреса не отримала жодних коштів.
