5월 7일 펙트라 업그레이드가 활성화된 이후 많은 사용자들이 관련된 위험성을 인지하지 못한 채 EIP-7702 스마트 계정을 활성화하기 위해 서둘렀습니다.
이번 업그레이드를 통해 외부 소유 계정(EOA)은 서명된 메시지를 통해 제어권을 위임함으로써 스마트trac지갑처럼 일시적으로 작동할 수 있게 되었습니다. 이 기능은 사용자 경험을 향상시키지만, EIP-7702는 시급한 조치가 필요한 새로운 보안 위험에도 노출시켰습니다.
Top 7702 위임 사이트는 피싱 사기일 가능성이 있습니다
GoPlus Security에 따르면 bundlebear.com의 온체인 데이터에서 1만 개 이상의 주소가 스마트 계정을 사용하고 있는 나타났습니다
GoPlus는trac코드 역컴파일을 통해 사용자가 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b 주소를 가진 악의적인 위임자를 승인하면 해당 계정으로 전송된 모든 ETH가matic으로 사기꾼의 주소로 리디렉션되는 것을 발견했습니다.
코드 분석 결과, 인증 후 모든 ETH가 사기꾼 지갑(0x000085bad)으로 자동 이체되는 것으로 밝혀졌으며, 이는 정교한 탈취 수법으로dent되었습니다.
펙트 에 대한 사람들의 신뢰를 악용하고 있다는 것은 분명합니다 . 이러한 위협은 매우 현실적이지만, 메타마스크와 같은 주요 지갑들은 EIP-7702를 안전하게 통합했습니다.
GoPlus 보안팀은 안전을 유지하고자 하는 사용자들에게 7702 기능에 대해서는 지갑 인터페이스만 신뢰하고 스마트 계정 업그레이드를 요구하는 외부 링크나 이메일은 사기로 간주할 것을 당부했습니다.
EIP-7702가 Ethereum의 사용자 경험(UX)과 거래 유연성을 크게 향상시킬 것이라는 점에는 모두 동의하지만, 외부 링크를 통해 승인하지 않도록 항상 주의해야 합니다. GoPlus Security는 누군가 지갑 외부에서 "업그레이드"를 강요한다면 100% 사기라고 경고합니다.
그 외 권장되는 안전 조치로는 7702 인증에 대한 이메일/URL 링크를 절대 신뢰하지 않는 것,trac소스 코드를 항상 검증하는 것, 오픈 소스가 아닌trac에 대해 특히 주의를 기울이는 것, 그리고 인증 주소를 꼼꼼히 확인하는 것이 있습니다.
❗경고❗
🚨 7702 상위 위임 사이트가 피싱 사기임이 밝혀졌습니다 🚨
Pectra 업그레이드 이후 수천 명의 사용자가 EIP-7702 스마트 계정을 활성화하기 위해 몰려들면서 위험한 취약점이 드러났습니다. 계정trac측면에서 혁신적인 변화이지만, 시급한 보안 위험에 대한 조치가 필요합니다.
자세한 내용은 아래를 참조하세요
— GoPlus Security 🚦 (@GoPlusSecurity) 2025년 5월 20일
하드웨어 지갑도 더 안전한 것은 아닙니다
펙트라 업데이트 이전에는 하드웨어 지갑이 더 안전하다고 여겨졌습니다. 하지만 해켄의 온체인 연구원인 예호르 루디차에 따르면 더 이상 그렇지 않습니다.
루디차는 하드웨어 지갑도 악의적인 메시지에 서명하는 측면에서 핫월렛과 동일한 위험에 처해 있다고 말했습니다. 그는 "만약 그런 일이 발생하면 모든 자금이 순식간에 사라질 수 있다"고 덧붙였습니다.
안전을 유지할 수 있는 방법은 있지만, 모든 방법은 사용자의 경계심을 필요로 합니다.
루디차는 "사용자는 이해하지 못하는 메시지에 서명해서는 안 된다"고 조언했다. 또한 지갑 개발자들에게 사용자가 위임 메시지에 서명하도록 요청할 때 명확한 경고를 제공해야 한다고 촉구했다.
사용자는 EIP-7702에서 도입된 새로운 위임 서명 형식에 특히 주의해야 합니다. 이러한 형식은 기존 EIP-191 또는 EIP-712 표준과 호환되지 않기 때문입니다. 이러한 메시지는 종종 단순한 32바이트 해시 형태로 나타나며 일반적인 지갑 경고를 우회할 수 있습니다.
"메시지에 계정 논스(nonce)가 포함되어 있다면 해당 메시지가 계정에 직접적인 영향을 미칠 가능성이 높습니다."라고 우스만은 경고했습니다. "일반적인 로그인 메시지나 오프체인 커밋먼트에는 보통 논스가 포함되지 않습니다."
더욱 심각한 것은 EIP-7702에서 chain_id가 0인 서명을 허용한다는 점입니다. 이는 서명된 메시지가 Ethereum호환되는 모든 체인에서 재사용될 수 있음을 의미합니다. 즉, 어디에서든 사용될 수 있다는 뜻입니다.
하드웨어 지갑과 비교했을 때, 다중 서명 지갑은 Pectra 업그레이드 후에도 더 높은 보안성을 유지합니다. 단일 키 지갑(하드웨어 지갑이든 아니든)은 잠재적인 악용을 방지하기 위해 새로운 서명 분석 및 위험 표시 도구를 도입해야 합니다.
