Рассказываем, какими новыми уязвимостями в абстракции учетной записи пользуются преступники и как обезопасить свои средства.
Дисклеймер: для полного погружения в технологические аспекты статьи редакция рекомендует прочитать материалы на сайте, посвященные абстракции учетной записи и апгрейду Pectra.
Помимо толчка для курса Ethereum, майский апгрейд Pectra привнес в экосистему расширенный функционал и улучшения. В том числе он дополнил технологию абстракции учетной записи (АУЗ): появился новый тип транзакций, позволяющий обычным адресам функционировать как кошельки смарт-контрактов.
С одной стороны, нововведения расширили спектр применения АУЗ и упростили пользовательский опыт, но с другой дали возможность хакерам опустошать кошельки жертв с помощью одной подписи. Рассказываем, какими новыми уязвимостями пользуются преступники и как обезопасить свои средства.
О повышенной опасности функционала абстракции учетной записи говорили и до активации Pectra в мейннете. Первоначальным компонентом обновления было EIP-3074, которое бы «делегировало контроль над EOA смарт-контракту». Однако от предложения отказались в пользу более безопасного, как тогда казалось, варианта EIP-7702 от Виталика Бутерина.
EIP-3074 критиковали за передачу практически полного контроля над кошельком смарт-контракту, которому делегировался доступ. Таким образом злоумышленники могли опустошить баланс пользователя с помощью одной подписи.
Традиционные EOA после подключения кошелька к протоколу требовали одобрения каждой последующей транзакции. Например, на DEX любое торговое действие приходится подписывать вручную. EIP-3074 устраняла эту необходимость с помощью опкодов AUTH и AUTHCALL, но учетные записи становились более уязвимыми к вредоносным протоколам.
Отклоненное предложение передавало управление над внешним адресом смарт-контракту, тогда как в пришедшем ему на смену EIP-7702 код смарт-контракта добавлялся к EOA. Инициатива вводила новый тип транзакций user_operation, а также предусматривала возможность отзыва разрешений и совместимость с будущими обновлениями АУЗ.
Тем не менее даже Бутерин говорил о критических недостатках технологии, включая риски доверия и централизации:
«Создается впечатление, что с аналогичной проблемой столкнется любое предложение, которое предполагает варианты использования EIP-3074 через “деэскалацию привилегий” (также известную как дополнительные ключи)».
В этом он оказался прав: перемещение кода на уровень учетной записи не остановило фишинговые атаки, а, наоборот, в каком-то смысле упростило их.
Возможности смарт-аккаунтов позволяют выполнять сложные действия в рамках одной транзакции, поддерживают лимит расходов, автоплатежи и оплату газа в нативном токене вместо ETH. Но что, если хакеры создадут протокол, который просто перечисляет все ваши средства на их кошелек? И для этого потребуется всего одна подпись.
Согласно дашборду на Dune от Wintermute, с момента активации Pectra 7 мая количество делегаций EOA смарт-контрактам превысило 140 000. В лидерах по авторизациям среди известных платформ — WhiteBIT, OKX Wallet и MetaMask.
Данные: Dune.
Общее количество созданных смарт-контрактов с возможностью делегации прав — 218.
20 мая аналитики GoPlus Security зафиксировали один из первых фишинговых инцидентов с АУЗ. Эксперты проанализировали подозрительный смарт-контракт и обнаружили, что при его подписании мгновенно реализовывалась функция автоматического перевода активов с кошелька жертвы на адрес злоумышленников.
1/On-chain data from https://t.co/yEVDjpXZOL shows 10K+ addresses using smart accounts. Below are the top 10 most-authorized 7702 Delegators: pic.twitter.com/akUzi7lPLo
— GoPlus Security (@GoPlusSecurity) May 20, 2025Согласно ончейн-данным, смарт-контракт получил около 300 авторизаций.
Вредоносный код смарт-контракта с EIP-7702. Данные: X.
«Изощренный механизм кражи. Эта сложная атака использует доверие пользователей к новому EIP-7702», — отметили в GoPlus.
В дашборде Wintermute также предусмотрена категоризация контрактов для делегирования. Сейчас на «преступления» приходится около 72,8%. Вторая по объему категория (15%) относится к ретейл-кошелькам, а еще третья (9%) — к «услугам».
Данные: Dune.
24 мая аналитики ScamSniffer сообщили о жертве АУЗ-фишинга, которая потеряла около $146 000 в криптовалютах из-за «вредоносных пакетных транзакций».
Параллельно Web3-исследователь обнаружил, что хакерская группировка AngelFerno добавила поддержку функционала EIP-7702 в продаваемый дрейнер. Малварь позволяет одновременно выводить до 10 различных монет за одну подпись в сетях Ethereum, BNB Chain и Gnosis.
AngelFerno keeping up with the latest #EIP7702 developments Teams like @MetaMask have already taken steps to protect you. Great explanations by @Kerberus @0xOhm_eth and others What does this mean? Summary:A drainer update has been released adding Pectra (EIP-7702)… pic.twitter.com/T6d1mwkqRc
— 0xSaiyangod (@saiyangod0x) May 10, 2025Универсальных способов противодействия злоумышленникам при переходе на смарт-кошелек пока не существует, впрочем, как и в случае с традиционным фишингом в блокчейне. Однако все эксперты по кибербезопасности сходятся во мнении — поможет внимательность.
Возможные рекомендации:
В GoPlus Security также отметили, что ведущие кошельки вроде MetaMask уже добавили предупреждения о рисках в рамках EIP-7702. При взаимодействии с подозрительным протоколом приложение покажет соответствующее уведомление.
Предупреждение в MetaMask. Данные: X.
Поскольку пользователи активно переходят на расширенные функции кошелька, злоумышленники увидели новые способы заработка. Конечно, это не означает провал EIP-7702 — нововведение по-прежнему имеет сильные стороны и преимущества, вроде упрощения UX.
Взаимодействие с блокчейном всегда было тесно связано с личной ответственностью за сохранность своих средств, но абстракция учетной записи требует большей внимательности, чем когда-либо. Помните о рисках и базовых правилах кибербезопасности, если захотите трансформировать кошелек в смарт-контракт.
JOIN
