Quanto mais forte a defesa, mais ardiloso o ataque.
Phishing contra ativos cripto continua desenfreado, especialmente depois do “EIP-7702 authorization attack”; os hackers ficaram ainda mais ousados...
Veja alguns casos tristes:
2 de setembro, o KOL @Tintinx2021 publicou que foi induzido por golpistas a baixar um link falso de reunião sob o pretexto de discutir uma parceria;
Também em 2 de setembro, um grande detentor de cripto @KuanSun1990 e um BD com quem havia se encontrado pessoalmente estavam conversando no TG sobre uma parceria, e como o outro enviou diretamente um link falso do Zoom que levou ao download de um arquivo malicioso, seus ativos foram transferidos — US$ 13 milhões;
8 de setembro, o KOL @dov_wo teve a conta de um contato no TG comprometida e entrou, via Calendly, em um link falso de reunião do Zoom.
Felizmente, graças à intervenção rápida, esses incidentes não causaram perdas massivas de ativos, mas os hackers nem sempre voltam de mãos vazias:
12 de setembro, o cofundador da Thorchain @jpthor perdeu US$ 1,3 milhão por causa do mesmo tipo de link falso do Zoom.
A combinação “conta de conhecido comprometida + link de reunião de phishing” vem sendo usada há anos e ainda funciona; aí podemos imaginar o quão descontroladas se tornaram técnicas mais sofisticadas e novas:
5 de agosto, um endereço que fez upgrade para EIP-7702 e usou um Uniswap falso teve US$ 66 mil roubados;
22 de agosto, um grande detentor perdeu US$ 1 milhão pelo mesmo motivo;
24 de agosto (sim, em poucos dias), outro grande detentor assinou uma transação de phishing do tipo EIP-7702 e teve US$ 1,54 milhão roubados.
Acima são apenas estatísticas incompletas de um único mês.
E o relatório da empresa de segurança cripto Scam Sniffer (@realScamSniffer) indica: em agosto houve 15.230 vítimas no total, com perdas somando US$ 12 milhões, um aumento de mais de 60% em relação a julho. Os incidentes relacionados ao padrão EIP-7702 tornaram-se cada vez mais frequentes, que é exatamente o tipo de ataque mencionado acima. Muitas pessoas não entendem bem esse conceito, mas os dados nos alertam a prestar atenção especial a esse novo vetor de ataque.
O que é EIP-7702
EIP-7702 introduz um novo tipo de transação que permite escrever parte do código de um endereço de conta como um ponteiro proxy. A partir daí, execuções feitas nesse endereço são redirecionadas para o código do contrato alvo. Essa configuração permanece ativa até que você substitua o ponteiro proxy por uma nova autorização ou o limpe.
Foi projetado para melhorar a experiência do usuário em três aspectos:
Simplificar operações: consolidar em uma única transação o que antes exigiria duas ou três ações on-chain, executando tudo de uma vez — ou tudo falha, ou tudo é bem-sucedido.
Pagamento de Gas por terceiros: outra pessoa paga o Gas, você só assina; mesmo sem ETH na carteira, a transação pode ser concluída.
Minimização de privilégios: dar à contract proxy uma sub-chave com permissões limitadas a “um token, um limite, uma aplicação”. Por exemplo, só pode gastar um determinado token ERC-20, mas não pode gastar ETH.
Por que EIP-7702 é perigoso
Embora o objetivo do EIP-7702 seja melhorar a experiência do usuário, pense bem: quando você entrega seu “poder de transacionar” a um “endereço de contrato malicioso”, ele passa a ter autoridade ilimitada para executar diversas operações — nesse momento seus ativos deixam de ser seus. Já em maio deste ano, uma pesquisa da Wintermute mostrou que mais de 97% das autorizações relacionadas ao EIP-7702 estavam associadas a contratos maliciosos.
E as formas como você pode ser atingido são bem diretas:
O usuário pode acessar um site de phishing, assinar uma transação desconhecida que na verdade é do tipo EIP-7702, concedendo ao contrato alvo malicioso permissões sobre seu endereço;
Ou a chave privada pode vazar. O atacante, ao roubar a chave privada, usa o conjunto de autorização malicioso do EIP-7702 para delegar a EOA da vítima a um contrato “robô varredor”, que imediatamente transfere qualquer novo ativo recebido pela carteira da vítima.
Como o usuário pode se proteger?
O óbvio: leia com atenção o conteúdo da assinatura; não assine transações que você não entenda. Verifique cuidadosamente a URL e o certificado SSL do site e evite clicar em links recebidos por mensagens privadas em redes sociais ou e-mails desconhecidos.
Revise autorizações regularmente. Por exemplo, o gerenciador de autorizações na carteira Rabby permite ver claramente se uma conta possui autorizações do tipo EIP-7702.
Não faça upgrades para EIP-7702 sem necessidade. Carteiras e aplicações podem oferecer a opção de upgrade para melhorar a experiência, mas se você não precisa, é melhor não ativar essa funcionalidade.
Ao autorizar uma transação EIP-7702, verifique cuidadosamente o endereço do contrato ao qual está delegando permissões e certifique-se de que ele pertence a um protocolo totalmente auditado, testado e amplamente confiável.
Fim
Seja qual for a nova cartada dos hackers, o que realmente determina se seus ativos estão seguros é se a chave privada foi exposta a ambientes de alto risco. Se a chave privada estiver segura (por exemplo, usando uma carteira de hardware):
Mesmo que você clique acidentalmente em um link de reunião de phishing, seus ativos não serão transferidos imediatamente, porque o hacker não encontra sua chave privada no seu computador.
Quando a chave privada só estiver com você (a carteira de hardware está em sua posse), o hacker também não consegue autorizar EIP-7702 para o seu endereço.
Para finalizar: a carteira de hardware da OneKey já suporta a análise de transações do tipo EIP-7702, o que significa que, ao clicar em qualquer site suspeito, autorizações maliciosas potenciais ficam totalmente visíveis na carteira de hardware, permitindo ao usuário identificá-las e bloqueá-las com facilidade.
Os ataques mudam, os limites não — mantenha sua chave privada na carteira de hardware e a decisão nas suas mãos.