Desde que se activó la actualización de Pectra el 7 de mayo, muchos usuarios se apresuraron a habilitar cuentas inteligentes EIP-7702, sin ser conscientes de los riesgos que esto implica.
La actualización permite que las Cuentas de Propiedad Externa (EOA) actúen brevemente como monederos detracinteligentes al delegar el control mediante un mensaje firmado. Si bien esta función mejora la experiencia del usuario, la EIP-7702 también ha expuesto a los usuarios a nuevos riesgos de seguridad que requieren atención urgente.
El delegador Top 7702 es presuntamente una estafa de phishing
Según GoPlus Security, los datos en cadena de bundlebear.com han revelado más de 10 000 direcciones que utilizan cuentas inteligentes.
Utilizando la descompilación del código deltrac, GoPlus descubrió que una vez que los usuarios autorizan al delegador malicioso con la dirección 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b, cualquier ETH transferido a su cuenta se redirigematica la dirección del estafador.
Después de analizar el código, se reveló que después de la autorización, todo el ETH se redirige automáticamente a la billetera del estafador 0x000085bad en lo que se hadentcomo un sofisticado mecanismo de robo.
Es evidente que el estafador se está aprovechando de la confianza depositada en la de Pectra . Si bien la amenaza es muy real, algunas billeteras líderes como MetaMask han logrado integrar EIP-7702 de forma segura.
GoPlus Security ha instado a los usuarios que desean mantenerse seguros a confiar únicamente en las interfaces de billetera para las funciones 7702 y a tratar cualquier enlace externo o correo electrónico que solicite actualizaciones de cuentas inteligentes como estafas.
Se reconoce que la EIP-7702 mejorará enormemente la experiencia de usuario (UX) y la flexibilidad de las transacciones de Ethereum, pero es crucial mantenerse alerta y nunca autorizar mediante enlaces externos. GoPlus Security advierte que si alguien te presiona para que actualices tu cuenta fuera de tu billetera, es una estafa.
Otras medidas de seguridad recomendadas incluyen nunca confiar en los enlaces de correo electrónico/URL para la autorización 7702, verificar siempre el código fuente deltrac, ser extremadamente cauteloso contracque no sean de código abierto y asegurarse de verificar cuidadosamente las direcciones de autorización.
❗ADVERTENCIA❗
🚨 El principal delegador 7702 se revela como una estafa de phishing 🚨
Mientras miles de personas se apresuran a habilitar las cuentas inteligentes EIP-7702 tras la actualización de Pectra, han surgido vulnerabilidades peligrosas. Si bien es una solución revolucionaria paratracde cuentas, existen riesgos de seguridad urgentes que requieren atención.
Detalles ⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) 20 de mayo de 2025
Las billeteras de hardware tampoco son más seguras
Antes de la actualización de Pectra, las billeteras de hardware se consideraban más seguras. Sin embargo, según Yehor Rudytsia, investigador en cadena de Hacken, esto ya no es así.
Rudytsia afirma que las billeteras de hardware ahora corren el mismo riesgo que las billeteras calientes en cuanto a la firma de mensajes maliciosos. "Si se hace, todos los fondos desaparecen en un instante", afirmó.
Si bien existen formas de mantenerse seguro, todas ellas requieren vigilancia por parte de los usuarios.
“Los usuarios no deben firmar mensajes que no comprenden”, aconsejó Rudytsia. También instó a los desarrolladores de billeteras a proporcionar advertencias claras cuando se les pida a los usuarios que firmen un mensaje de delegación.
Los usuarios deben ser especialmente cautelosos con los nuevos formatos de firma de delegación introducidos por EIP-7702, ya que no son compatibles con los estándares EIP-191 o EIP-712 existentes. Estos mensajes suelen aparecer como simples hashes de 32 bytes y pueden eludir las advertencias habituales de la billetera.
“Si un mensaje incluye el nonce de tu cuenta, probablemente la esté afectando directamente”, advirtió Usman. “Los mensajes de inicio de sesión normales o los compromisos fuera de la cadena no suelen incluir tu nonce”
Peor aún, EIP-7702 permite firmas con chain_id = 0, lo que significa que el mensaje firmado puede reproducirse en cualquier cadena compatible Ethereum. Esto significa que puede usarse en cualquier lugar.
En comparación con las billeteras de hardware, las billeteras multifirma siguen siendo más seguras con la de Pectra , gracias a que requieren múltiples firmantes. Las billeteras de clave única, ya sean de hardware o de otro tipo, deberán adoptar nuevas herramientas de análisis de firmas y alertas para evitar posibles ataques.
