منذ أن تم تنشيط ترقية Pectra في 7 مايو ، سارع العديد من المستخدمين لتمكين الحسابات الذكية EIP-7702 ، غير مدرك للمخاطر المرفقة.
تتيح الترقية حسابات مملوكة خارجيًا (EOAs) من العمل بإيجاز كمحافظ ذكية contract من خلال تفويض التحكم عبر رسالة موقعة. على الرغم من أن هذه الميزة تعزز تجربة المستخدم ، فقد تعرض EIP-7702 للمستخدمين أيضًا لمخاطر أمان جديدة تتطلب اهتمامًا عاجلاً.
أفضل 7702 موفرة يزعم أن عملية احتيال التصيد
كشفت البيانات على السلسلة من BundleBear.com أكثر من 10 آلاف عناوين باستخدام حسابات ذكية.
باستخدام إزالة رمز CONtracT ، وجد Goplus أنه بمجرد أن يسمح المستخدمون بالممنور الضار بعنوان 0x930FCC37D6042C79211EE18A02857CB1FD7F0D0B ، يحصل أي أخي على حسابه على حليفmaticAUTO إلى عنوان SCAMMER.
بعد تحليل الكود ، تم الكشف عن أنه بعد التفويض ، يتم إعادة توجيه جميع ETH إلى محفظة محفظة 0x000085BAD في ما تمdentكآلية سرقة متطورة.
من الواضح أن المخادع يستغل الثقة التي لدى الناس في Pectra . في حين أن التهديد حقيقي للغاية ، إلا أن بعض المحافظ الرائدة مثل Metamask تمكنت من دمج EIP-7702 بأمان.
حث Goplus Security المستخدمين الذين يرغبون في البقاء آمنين للثقة واجهات المحفظة فقط لـ 7702 ميزة ومعالجة أي روابط خارجية أو رسائل بريد إلكتروني تطلب ترقيات الحساب الذكية كاحتيال.
تم الاتفاق على أن EIP-7702 ستعمل على العجائب لمرونة EthereumUX والمعاملات ، ولكن من الأهمية بمكان أن تظل في حالة تأهب وعدم السماح بها من خلال الروابط الخارجية. يحذر Goplus Security من أنه إذا دفعك أي شخص إلى "الترقية" خارج محفظتك ، فسيكون هذا عملية احتيال 100 ٪.
تتضمن تدابير السلامة الموصى بها الأخرى أبدًا روابط البريد الإلكتروني/عنوان URL للترخيص 7702 ، والتحقق دائمًا من رمز المصدر contract ، كونها حذرة أكثر من غيرtracالمصدر والتأكد من التحقق من عناوين التفويض بعناية.
❗warning❗
🚨 Top 7702 Pevator تم الكشف عنه باسم عملية احتيال الخداع 🚨
مع اندفاع الآلاف لتمكين الحسابات الذكية EIP-7702 بعد ترقية Pectra ، ظهرت نقاط الضعف الخطرة. في حين أن ثوريا للحساب ABStracنشوئها ، فإن مخاطر الأمن العاجلة تحتاج إلى الاهتمام.
التفاصيل ⬇
- Goplus Security 🚦 (goplussecurity) 20 مايو 2025
محافظ الأجهزة ليست أكثر أمانًا أيضًا
قبل تحديث Pectra ، اعتبرت محافظ الأجهزة أكثر أمانًا. لكن وفقًا لـ Yehor Rudytsia ، الباحث في السلسلة في Hacken ، لم يعد هذا هو الحال.
تقول Rudytsia إن محافظ الأجهزة الآن في نفس خطر المحافظ الساخنة من منظور توقيع الرسائل الخبيثة. وقال "إذا تم القيام به ، فقد اختفت جميع الأموال في لحظة".
في حين أن هناك طرقًا للبقاء آمنين ، إلا أنها تتطلب اليقظة من جانب المستخدمين.
"يجب ألا يوقع المستخدمون على الرسائل التي لا يفهمونها" ، نصحت روديتسيا. كما حث مطوري المحفظة على تقديم تحذيرات واضحة عندما يُطلب من المستخدمين التوقيع على رسالة تفويض.
يجب أن يكون المستخدمون حذرًا بشكل خاص لتنسيقات توقيع الوفد الجديد الذي تم تقديمه بواسطة EIP-7702 ، لأنهم لا يتوافقون مع معايير EIP-191 أو EIP-712 الحالية. غالبًا ما تظهر هذه الرسائل على أنها تجزئة بسيطة من 32 بايت وقد تتجاوز تحذيرات المحفظة العادية.
حذر عثمان: "إذا كانت رسالة تتضمن حسابك غير ، فمن المحتمل أن تؤثر على حسابك مباشرة". "لا تشمل رسائل تسجيل الدخول العادية أو الالتزامات الموحدة عادة غيرك."
والأسوأ من ذلك ، أن EIP -7702 يسمح بالتوقيعات باستخدام chain_id = 0 ، مما يعني أن الرسالة الموقعة يمكن إعادة تشغيلها على أي سلسلة Ethereum-compatible. هذا يعني أنه يمكن استخدامه في أي مكان.
بالمقارنة مع محافظ الأجهزة ، تظل محافظ متعددة الإعدادات أكثر أمانًا بموجب Pectra ، وذلك بفضل متطلباتها لموقّعين متعددين. سيتعين على محافظ مفتاح واحد-الأجهزة أو غير ذلك-تبني أدوات تحليل توقيع جديدة وأدوات ترقيب حمراء لمنع الاستغلال المحتمل.
سلك الفرق الرئيسي : تستخدم مشاريع التشفير السرية للأداة للحصول على تغطية إعلامية مضمونة
