Je mehr das Gute wächst, desto raffinierter wird das Böse.
Phishing im Bereich von Krypto-Assets ist nach wie vor weit verbreitet, und seit den „EIP-7702-Autorisierungsangriffen“ gehen die Hacker noch skrupelloser vor...
Schauen Sie sich diese tragischen Fälle an:
Am 2. September schrieb der KOL @Tintinx2021, dass er von Betrügern unter dem Vorwand einer Kooperationsbesprechung dazu verleitet wurde, einen gefälschten Meeting-Link herunterzuladen;
Ebenfalls am 2. September lud ein Krypto-Whale @KuanSun1990 während eines TG-Gesprächs mit einem zuvor persönlich getroffenen BD aufgrund eines direkt zugesandten gefälschten Zoom-Links eine bösartige Datei herunter, wodurch Vermögenswerte in Höhe von 13 Millionen US-Dollar abgezogen wurden;
Am 8. September wurde der KOL @dov_wo betroffen, weil ein TG-Kontaktkonto gehackt wurde und er über Calendly in einen gefälschten Zoom-Meeting-Link gelotst wurde。
Glücklicherweise führten rechtzeitige Maßnahmen dazu, dass die oben genannten Vorfälle letztlich nicht zu großen Vermögensverlusten führten, doch die Hacker gehen nicht jedes Mal leer aus:
Am 12. September wurde der Thorchain-Mitgründer @jpthor durch denselben gefälschten Zoom-Link um 1,3 Millionen US-Dollar betrogen.
Die Kombination „gehackte Konten von Bekannten + Phishing-Meeting-Links“ wird zwar seit Jahren verwendet, ist aber nach wie vor effektiv; das lässt erahnen, wie rücksichtslos noch ausgefeiltere neue Methoden sein können:
Am 5. August wurde eine Adresse nach dem Upgrade auf EIP-7702 und der Nutzung einer gefälschten Uniswap um 66.000 US-Dollar bestohlen;
Am 22. August wurde ein großer Akteur aus demselben Grund um 1.000.000 US-Dollar beraubt;
Am 24. August (ja, nicht einmal zwei Tage später) wurde ein weiterer großer Akteur durch die Unterzeichnung einer EIP-7702-artigen Phishing-Transaktion um 1,54 Millionen US-Dollar betrogen。
Das ist nur eine unvollständige Aufstellung innerhalb eines Monats。
Der Bericht der Krypto-Sicherheitsfirma Scam Sniffer(@realScamSniffer)weist darauf hin: Im August gab es insgesamt 15230 Opfer, deren Vermögenswerte insgesamt bis zu 12.000.000 US-Dollar betrugen, ein Anstieg von über 60% im Vergleich zum Juli. Die mit dem EIP-7702-Standard verbundenen Diebstähle treten zunehmend häufiger auf, also genau der oben beschriebene Angriffstyp. Viele verstehen dieses Konzept nicht, doch die Daten warnen uns, dieser neuartigen Angriffsform besondere Aufmerksamkeit zu schenken。
Was ist EIP-7702
EIP-7702 führt einen neuen Transaktionstyp ein, der es ermöglicht, einen Teil des Codes einer Kontoadresse als Proxy-Zeiger zu schreiben. Danach werden Ausführungen für diese Adresse auf den Code des Zielvertrags weitergeleitet. Diese Einstellung bleibt aktiv, bis Sie den Proxy-Zeiger durch eine neue Autorisierung ersetzen oder ihn löschen.
Es wurde entwickelt, um das Transaktionserlebnis der Nutzer in drei Punkten zu verbessern:
Vereinfachte Transaktionsabwicklung: On-Chain-Operationen, die zuvor in zwei oder drei Schritten durchgeführt werden mussten, werden zu einer einzigen Transaktion gebündelt, sodass entweder alles gelingt oder alles fehlschlägt。
Gas-Bezahlung: andere zahlen das Gas für Sie, Sie müssen nur signieren; selbst wenn im Wallet kein ETH ist, kann die Transaktion ausgeführt werden。
Rechtebegrenzung: dem Proxy-Vertrag einen Subschlüssel geben, der nur die Berechtigung für „bestimmte Token, bestimmte Beträge, bestimmte Anwendungen“ gewährt. Zum Beispiel darf nur ein bestimmter ERC-20-Token ausgegeben werden, aber nicht ETH。
Warum EIP-7702 gefährlich ist
Obwohl EIP-7702 ursprünglich zur Verbesserung des Nutzererlebnisses gedacht war, gilt: Wenn Sie Ihre „Ausübungsrechte für Transaktionen“ an eine „bösartige Vertragsadresse“ übergeben, die uneingeschränkt verschiedene Operationen ausführen kann, gehören Ihre Vermögenswerte in diesem Moment nicht mehr Ihnen. Schon im Mai dieses Jahres zeigte eine Studie von Wintermute, dass über 97% der EIP-7702-bezogenen Autorisierungen mit bösartigen Verträgen in Verbindung standen。
Und wie Sie betroffen sein können, ist recht direkt:
Benutzer könnten auf eine Phishing-Website geraten und eine unbekannte Transaktion signieren, die in Wirklichkeit eine EIP-7702-Transaktion ist und die Adressrechte an die vom Hacker entworfene Zielvertragsadresse überträgt;
Oder der private Schlüssel wird kompromittiert. Angreifer, die den privaten Schlüssel stehlen, nutzen bösartige EIP-7702-Autorisierungs-Tupel, um das EOA des Opfers an einen „Reinigungsroboter“-Vertrag zu delegieren, der neue Assets, die in die Wallet des Opfers gelangen, sofort weiterleitet。
Wie können sich Nutzer schützen?
Altbekanntes: Lesen Sie die Signaturinhalte genau und signieren Sie keine Transaktionen, die Sie nicht verstehen. Prüfen Sie vor allem sorgfältig die URL und das SSL-Zertifikat der Website und vermeiden Sie das Anklicken von Links aus Direktnachrichten in sozialen Medien oder unbekannten E-Mails。
Überprüfen Sie Berechtigungen regelmäßig. Zum Beispiel zeigt das Berechtigungsmanagement der Rabby-Wallet klar an, ob ein Konto EIP-7702-Autorisierungen erteilt hat。
Führen Sie kein Upgrade auf EIP-7702 durch. Wallets und Anwendungen bieten solche Upgrade-Optionen zur Verbesserung der Nutzererfahrung an. Wenn kein dringender Bedarf besteht, sollten Sie diese Funktion nicht aktivieren。
Bei der Autorisierung von EIP-7702-Transaktionen müssen Sie die beauftragte Vertragsadresse sorgfältig überprüfen und sicherstellen, dass sie von einem vollständig auditierten, bewährten und weithin vertrauenswürdigen Protokoll stammt。
End
Unabhängig davon, ob Hacker neue Tricks oder alte Methoden verwenden, entscheidet am Ende, ob Ihr Vermögen sicher ist, ob Ihr privater Schlüssel in einer hochriskanten Umgebung offengelegt wurde. Wenn der private Schlüssel sicher ist (z. B. durch Verwendung einer Hardware-Wallet):
Selbst wenn Sie versehentlich auf einen Phishing-Meeting-Link klicken, werden Ihre Vermögenswerte nicht sofort transferiert, weil der Angreifer Ihren privaten Schlüssel nicht auf Ihrem Computer findet。
Wenn nur Sie den privaten Schlüssel kennen (die Hardware-Wallet ist in Ihrer Hand), kann der Angreifer Ihre Adresse auch nicht mit einer EIP-7702-Autorisierung versehen。
Abschließend noch ein Hinweis: Die Hardware-Wallet von OneKey unterstützt bereits die Analyse von EIP-7702-Transaktionen. Das bedeutet, dass bei einem Klick auf eine verdächtige Website eingebettete bösartige Autorisierungen auf der Hardware-Wallet deutlich sichtbar sind und Nutzer sie leicht erkennen und blockieren können。
Angriffe ändern sich, die Grenze bleibt bestehen — bewahren Sie den privaten Schlüssel in der Hardware und behalten Sie die Entscheidungsgewalt in Ihren Händen.