Gli analisti della sicurezza mettono in guardia contro la falla EIP-7702 dopo che un utente ha perso 1,54 milioni di dollari in un singolo attacco di phishing

Gli analisti hanno lanciato l'allarme su una vulnerabilità legata alla relativamente nuova funzionalità Ethereum Improvement Proposal (EIP-7702), in seguito a un attacco di phishing costato a un investitore oltre un milione di dollari. 

Il servizio antifrode Scam Sniffer ha rilevato un aumento delle truffe di phishing in cui gli aggressori prendono di mira gli indirizzi aggiornati al nuovo standard EIP-7702.

La funzionalità EIP-7702, introdotta come parte dell'aggiornamento Pectra di maggio, è progettata per migliorare la funzionalità del portafoglio consentendo agli account di proprietà esterna (EOA) di comportarsi temporaneamente cometracintelligenti.

Questa funzionalità favorisce l'ottimizzazione consentendo l'esecuzione di più operazioni all'interno di un'unica transazione, migliorando così l'efficienza per gli utenti legittimi. Tuttavia, secondo quanto riferito, la funzionalità ha aperto nuove finestre di vulnerabilità.

Ci sono state almeno tre vittime questo mese

L'ultima sfortunata vittima avrebbe perso un totale di 1,54 milioni di dollari dopo aver firmato transazioni batch di phishing EIP-7702 contenenti molteplici trasferimenti di token e operazioni di approvazione di NFT. Parte di questi fondi sarebbe stata trasferita alla rete principale (Mainnet) tramite Relay Protocol.

Il caso è avvenuto due giorni dopo che Scam Sniffer aveva annunciato che un altro investitore aveva perso 1 milione di dollari in token e NFT dopo aver firmato transazioni batch di phishing camuffate da swap Uniswap.

L'exploit è stato pubblicato poche settimane dopo che il servizio antifrode aveva segnalato che un indirizzo aggiornato EIP-7702 aveva perso 66.000 dollari a favore dello stesso gruppo che utilizzava lo stesso exploit.

Questi schemi prevedono un'interfaccia DeFi fraudolenta, in genere progettata per imitare piattaforme come Uniswap. Alle vittime veniva chiesto di approvare transazioni che a prima vista sembravano di routine, ma in realtà erano trasferimenti nascosti autorizzati.

Una volta approvati, gli aggressori avrebbero svuotato il portafoglio quasi istantaneamente, sottraendo criptovalute e NFT.

Secondo Scam Sniffer, molti utenti sono ancora all'oscuro dei rischi legati a EIP-7702, poiché si tratta di uno sviluppo recente. Poiché le transazioni dannose sono solitamente strutturate in modo da apparire normali, gli utenti ignari sono vulnerabili.

Gli esperti di sicurezza hanno segnalato exploit EIP-7702 da giugno

Scam Sniffer ha confermato che gli attacchi di phishing mirati agli indirizzi EIP-7702 aggiornati sono aumentati, indicando una tendenza in crescita. Tuttavia, non si tratta di una tendenza nuova, poiché gli esperti di sicurezza ne segnalano glidentda mesi.

A giugno, i ricercatori di Wintermute hanno rivelato che gli sfruttatori hanno preso di mira diversi ignari portafogli crittografici con attacchi "automated sweeper", questa volta utilizzando "tracdelegati", una nuova funzionalità lanciata come parte dell'EIP 7702.

Sebbene EIP-7702 offra nuove comodità, introduce anche nuovi rischi

Il nostro team di ricerca ha scoperto che oltre il 97% di tutte le deleghe EIP-7702 erano autorizzate a più contrattitraclo stesso identico codice. Si tratta di "sweeper", utilizzati per prosciugare automaticamentematicETH in entrata provenienti da dispositivi compromessi... pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) 30 maggio 2025

In una serie di tweet condivisi tramite il suo account ufficiale X, Wintermute ha affermato che il suo team di ricerca aveva scoperto che oltre l'80% di tutte le deleghe EIP-7702 erano autorizzate a piùtracutilizzando lo stesso identico codice. Li hanno chiamati sweeper e hanno riferito che vengono utilizzati per drenarematicgli ETH in entrata dagli indirizzi compromessi.

I tentativi dolosi degli hacker di prosciugare gli ETH dai portafogli sono continuati nonostante il programma di sicurezza da mille miliardi di dollari della Ethereum Foundation, annunciato il 14 maggio.

Per sicurezza, Scam Sniffer ha invitato gli utenti a essere cauti e vigili quando approvano transazioni in batch e a verificare attentamente le interfacce prima di firmare qualsiasi cosa.

Le piattaforme DeFi false, progettate per imitare quelle legittime, sono state etichettate come uno dei vettori di attacco più comuni nel settore delle criptovalute e l'introduzione delle transazioni batch, sebbene abbia dimostrato di migliorare l'esperienza utente per le applicazioni legittime, ha aggiunto complessità, aumentando al contempo la possibilità di un exploit.

Il modo migliore per prevenire il problema è utilizzare solo applicazioni attendibili e verificare tre volte le autorizzazioni concesse durante ogni transazione, in batch o meno.