Кошелёк Ethereum, обновлённый до стандарта EIP-7702 с функцией смарт-аккаунтов, стал жертвой фишинга — пользователь потерял $146 551 в различных мемкоинах. По данным Scam Sniffer, мошенники вывели средства с помощью вредоносной пакетной транзакции, которую жертва (адрес 0xc6d289d) сама подписала. Атака была проведена с адресов 0xC83De81A и 0x33dAD2b. Эксперт по кибербезопасности Ю Сян назвал взлом очень изобретательным […]
Кошелёк Ethereum, обновлённый до стандарта EIP-7702 с функцией смарт-аккаунтов, стал жертвой фишинга — пользователь потерял $146 551 в различных мемкоинах.
По данным Scam Sniffer, мошенники вывели средства с помощью вредоносной пакетной транзакции, которую жертва (адрес 0xc6d289d) сама подписала. Атака была проведена с адресов 0xC83De81A и 0x33dAD2b.
Эксперт по кибербезопасности Ю Сян назвал взлом очень изобретательным и связал его с группой Inferno Drainer. По данным Check Point Research, их вредоносный софт всё ещё активен и только за последние полгода помог украсть более $9 млн в криптовалюте.
Ю Сян, основатель компании по блокчейн-безопасности SlowMist, объяснил, что в этот раз мошенники не подменяли адрес внешнего кошелька (EOA) на фишинговый. Вместо этого они использовали механизм делегирования в MetaMask, связанный с EIP-7702, чтобы провести фишинговую атаку с пакетным одобрением и вывести токены.
«Что я имею в виду под изобретательной схемой? В этом случае адрес EOA пользователя не был заменён на контракт по стандарту 7702. То есть адрес делегирования не был фейковым — это был MetaMask Delegator, существовавший несколько дней назад: 0x63c0c19a2», — пояснил эксперт.
Из-за этого инцидент выглядит ещё более сложным, чем предыдущие попытки использовать EIP-7702. Через механизм делегирования злоумышленники сами выбирали, какие токены украсть у жертвы. Сян отметил, что фишинговые группы постоянно находят всё более изощрённые способы красть чужие средства, поэтому пользователи должны быть особенно осторожны.
По его словам, скорее всего, пользователь сам зашёл на фишинговый сайт и по невнимательности одобрил вредоносную транзакцию.
Инцидент вновь поднимает тему безопасности функции абстракции аккаунтов EIP-7702, которая появилась всего несколько недель назад в обновлении Pectra. С момента запуска её уже активно используют. По данным Dune Analytics и Wintermute Research, было зафиксировано более 48 000 делегаций.
Функция позволяет временно превратить обычный кошелёк Ethereum (EOA) в смарт-аккаунт, передав управление на другой адрес с нужным кодом.
В обычных условиях EOA — это простой кошелёк без поддержки таких функций, как оплата газа за счёт контракта, альтернативная авторизация и пакетные транзакции. Но благодаря новым возможностям пользователь получает более гибкий и удобный инструмент.
Однако то, что должно было улучшить UX, открыло и новые риски. Значительная часть делегатов по стандарту 7702 — это вредоносные контракты. Dune Analytics показывает, что 36,3% из 175 делегатов уже помечены как мошеннические.
По информации GoPlus Security, если отправить средства на заражённый EOA, они автоматически перенаправляются на адрес злоумышленника. Это и позволяет фишинговым схемам похищать активы пользователей.
Читайте также: Binance Pay упрощает переводы криптовалюты — новые функции уже доступны
Появление новых схем атак заставило экспертов снова напомнить пользователям о внимательности. Ю Сян отметил, что необходимо регулярно проверять, не выдали ли вы случайно токенам подозрительные разрешения и не был ли ваш кошелёк делегирован фишинговому адресу.
Сделать это можно через блок-обозреватель, просмотрев историю авторизаций. При необходимости разрешения можно отозвать, воспользовавшись кошельком с поддержкой EIP-7702.
MetaMask предупреждает пользователей. Источник: GoPlus Security
Один из самых популярных Ethereum-кошельков, MetaMask, также предостерёг от перехода по внешним ссылкам и email-сообщениям, которые предлагают обновить кошелёк до смарт-аккаунта. Всплывающее сообщение в приложении гласит, что такие переходы возможны только внутри самого кошелька.
В компании GoPlus, специализирующейся на Web3-безопасности, также напомнили о ключевых мерах защиты: проверять адреса авторизации, изучать исходный код контрактов и избегать взаимодействия с закрытым кодом.