Gli analisti hanno lanciato l'allarme su una vulnerabilità legata alla relativamente nuova funzionalità Ethereum Improvement Proposal (EIP-7702), in seguito a un attacco di phishing costato a un investitore oltre un milione di dollari.
Il servizio antifrode Scam Sniffer ha rilevato un aumento delle truffe di phishing in cui gli aggressori prendono di mira gli indirizzi aggiornati al nuovo standard EIP-7702.
La funzionalità EIP-7702, introdotta come parte dell'aggiornamento Pectra di maggio, è progettata per migliorare la funzionalità del portafoglio consentendo agli account di proprietà esterna (EOA) di comportarsi temporaneamente cometracintelligenti.
Questa funzionalità favorisce l'ottimizzazione consentendo l'esecuzione di più operazioni all'interno di un'unica transazione, migliorando così l'efficienza per gli utenti legittimi. Tuttavia, secondo quanto riferito, la funzionalità ha aperto nuove finestre di vulnerabilità.
Ci sono state almeno tre vittime questo mese
Secondo quanto riferito, l'ultima sfortunata vittima ha perso un totale di 1,54 milioni di dollari dopo aver firmato transazioni batch di phishing EIP-7702 contenenti molteplici trasferimenti di token e NFT . Parte di questi fondi sarebbe stata trasferita alla Mainnet tramite il protocollo Relay.
Il caso è avvenuto due giorni dopo che Scam Sniffer aveva annunciato che un altro investitore aveva perso 1 milione di dollari in token e NFT dopo aver firmato transazioni batch di phishing camuffate da swap Uniswap.
L'exploit è stato pubblicato poche settimane dopo che il servizio antifrode aveva segnalato che un indirizzo aggiornato EIP-7702 aveva perso 66.000 dollari a favore dello stesso gruppo che utilizzava lo stesso exploit.
Questi schemi prevedono un'interfaccia DeFi fraudolenta, in genere progettata per imitare piattaforme come Uniswap. Alle vittime veniva chiesto di approvare transazioni che a prima vista sembravano di routine, ma in realtà erano trasferimenti nascosti autorizzati.
Una volta approvati, gli aggressori avrebbero svuotato il portafoglio quasi istantaneamente, sottraendo criptovalute e NFT.
Secondo Scam Sniffer, molti utenti sono ancora all'oscuro dei rischi legati a EIP-7702, poiché si tratta di uno sviluppo recente. Poiché le transazioni dannose sono solitamente strutturate in modo da apparire normali, gli utenti ignari sono vulnerabili.
Gli esperti di sicurezza hanno segnalato exploit EIP-7702 da giugno
Scam Sniffer ha confermato che gli attacchi di phishing mirati agli indirizzi EIP-7702 aggiornati sono aumentati, indicando una tendenza in crescita. Tuttavia, non si tratta di una tendenza nuova, poiché gli esperti di sicurezza ne segnalano glidentda mesi.
A giugno, i ricercatori di Wintermute hanno rivelato che gli sfruttatori hanno preso di mira diversi ignari portafogli crittografici con attacchi "automated sweeper", questa volta utilizzando "tracdelegati", una nuova funzionalità lanciata come parte dell'EIP 7702.
Sebbene EIP-7702 offra nuove comodità, introduce anche nuovi rischi
Il nostro team di ricerca ha scoperto che oltre il 97% di tutte le deleghe EIP-7702 erano autorizzate a più contratti trac lo stesso identico codice. Si tratta di sweeper, utilizzati per drenare automaticamente matic ETH in entrata da criptovalute compromesse... pic.twitter.com/xHp7zr4hC9
— Wintermute (@wintermute_t) 30 maggio 2025
In una serie di tweet condivisi tramite il suo account ufficiale X, Wintermute ha affermato che il suo team di ricerca aveva scoperto che oltre l'80% di tutte le deleghe EIP-7702 erano autorizzate a piùtracutilizzando lo stesso identico codice. Li hanno chiamati sweeper e hanno riferito che vengono utilizzati per drenarematicgli ETH in entrata dagli indirizzi compromessi.
I tentativi dolosi degli hacker di prosciugare gli ETH dai portafogli sono continuati nonostante il programma di sicurezza da mille miliardi di dollari della Ethereum Foundation, annunciato il 14 maggio.
Per sicurezza, Scam Sniffer ha invitato gli utenti a essere cauti e vigili quando approvano transazioni in batch e a verificare attentamente le interfacce prima di firmare qualsiasi cosa.
Le piattaforme DeFi false, progettate per imitare quelle legittime, sono state etichettate come uno dei vettori di attacco più comuni nel settore delle criptovalute e l'introduzione delle transazioni batch, sebbene abbia dimostrato di migliorare l'esperienza utente per le applicazioni legittime, ha aggiunto complessità, aumentando al contempo la possibilità di un exploit.
Il modo migliore per prevenire il problema è utilizzare solo applicazioni attendibili e verificare tre volte le autorizzazioni concesse durante ogni transazione, in batch o meno.
