5 月 7 日に Pectra のアップグレードが有効化されて以来、多くのユーザーが、それに伴うリスクを認識せずに、EIP-7702 スマート アカウントを有効にしようと躍起になっています。.
このアップグレードにより、外部所有アカウント(EOA)は、署名付きメッセージを介して制御を委任することで、一時的にスマートtracウォレットとして機能できるようになります。この機能はユーザーエクスペリエンスを向上させる一方で、EIP-7702は、緊急の対応が必要な新たなセキュリティリスクにもユーザーをさらしています。.
トップ7702の委任者はフィッシング詐欺の疑いがある
GoPlus Securityによると、bundlebear.comのオンチェーンデータにより、スマートアカウントを使用しているアドレスが1万件以上ある明らかになった
GoPlus は、tracコードの逆コンパイルを使用して、ユーザーが 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b アドレスを使用して悪意のある委任者を承認すると、そのアカウントに転送された ETH がすべてmaticに詐欺師のアドレスにリダイレクトされることを発見しました。.
コードを分析した結果、認証後、すべての ETH が詐欺師のウォレット 0x000085bad に自動的にリダイレクトされることが明らかになりました。これは高度な盗難メカニズムであるとdentされています。.
Pectraのに対する人々の信頼を悪用していることは明らかです。脅威は確かに存在しますが、MetaMaskのような主要ウォレットはEIP-7702を安全に統合できています。
GoPlus Securityは、安全を確保したいユーザーに対し、7702の機能についてはウォレットインターフェースのみを信頼し、スマートアカウントのアップグレードを求める外部リンクやメールは詐欺として扱うよう強く勧めている。.
EIP-7702は EthereumのUXとトランザクションの柔軟性に素晴らしい効果をもたらすことは間違いありませんが、常に注意を払い、外部リンク経由で認証を行わないことが重要です。GoPlus Securityは、ウォレット外で「アップグレード」を促された場合、それは100%詐欺だと警告しています。.
その他の推奨される安全対策としては、7702 認証用の電子メール/URL リンクを決して信頼しないこと、契約のtracコードを常にtracすること、オープン ソースではない契約には特に注意すること、認証アドレスを慎重に確認することなどが挙げられます。.
❗警告❗
🚨 トップ 7702 の委任者がフィッシング詐欺であることが判明 🚨
Pectraのアップグレード後、数千人がEIP-7702スマートアカウントの有効化に殺到する中、危険な脆弱性が出現しました。アカウントの不正trac防止には画期的な取り組みですが、緊急のセキュリティリスクへの対応が必要です。.
詳細⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) 2025年5月20日
ハードウェアウォレットも安全ではない
Pectraアップデート以前は、ハードウェアウォレットの方が安全だと思われていました。しかし、Hackenのオンチェーン研究者であるYehor Rudytsia氏によると、もはやそうではないとのことです。.
ルディツィア氏は、悪意のあるメッセージに署名する点において、ハードウェアウォレットはホットウォレットと同等のリスクにさらされていると指摘する。「もし署名されれば、資金は一瞬にして失われてしまう」と彼は述べた。.
安全を保つ方法はいくつかありますが、いずれもユーザー側の注意が必要です。.
「ユーザーは理解できないメッセージに署名すべきではありません」とルディツィア氏は助言した。また、ウォレット開発者に対し、ユーザーに委任メッセージへの署名を求められる際には明確な警告を出すよう求めた。.
EIP-7702で導入された新しい委任署名形式は、既存のEIP-191やEIP-712標準と互換性がないため、ユーザーは特に注意する必要があります。これらのメッセージは、多くの場合、単純な32バイトのハッシュとして表示され、通常のウォレットの警告を回避してしまう可能性があります。.
「メッセージにアカウントのナンスが含まれている場合、おそらくあなたのアカウントに直接影響を及ぼしているでしょう」とウスマン氏は警告した。「通常のサインインメッセージやオフチェーンのコミットメントには、通常、ナンスが含まれません。」
さらに悪いことに、EIP-7702ではchain_id = 0の署名が許可されているため、署名されたメッセージは Ethereum互換のチェーンであればどこでも再生可能です。つまり、どこでも使用できるということです。.
ハードウェアウォレットと比較して、マルチシグネチャウォレットは Pectraアップグレード下でもより安全な状態を維持します。シングルキーウォレット(ハードウェアウォレットか否かに関わらず)は、潜在的な悪用を防ぐために、新しい署名解析ツールとレッドフラッグツールを導入する必要があります。
