Новая функция Ethereum была использована злоумышленниками всего через несколько недель после запуска в результате фишинговой атаки на сумму 146 000 долларов

В результате фишинговых атак мошенники похитили 146 551 доллар США из Ethereum кошелька, обновленного до смарт-счетов EIP-7702, в различных мемкоинах. Компания Scam Sniffer, специализирующаяся на безопасности блокчейна, сообщила обdent, отметив, что средства были украдены посредством вредоносных пакетных транзакций.

По данным компании, жертва с кодом 0xc6d289d подписывала вредоносные пакетные транзакции, что позволило злоумышленникам перевести средства. Для осуществления атаки мошенники использовали коды 0xC83De81A и 0x33dAD2b.

После инцидентаdentпо кибербезопасности Юй Сянь отметил, что фишинговая атака была очень изобретательной, иdentdentdentdentdentdentdentdentdentГруппа публично заявила о своем закрытии, но недавний отчет Check Point Research показывает, что ее вредоносное ПО по-прежнему широко используется и за последние шесть месяцев было использовано для кражи криптовалютных активов на сумму более 9 миллионов долларов.

Сянь, основатель компании Slow Mist, занимающейся безопасностью блокчейна, отметил, что мошенники не заменяют адрес внешнего аккаунта (EOA) на фишинговый. Вместо этого они используют механизм делегатора Metamask EIP-7702 для проведения фишинговых атак с пакетной авторизацией и кражи токенов.

Он сказал:

«Под "небольшой креативностью" я подразумеваю то, что на этот раз адрес EOA пользователя не был переключен на адресtrac7702 посредством фишинга. Другими словами, делегированный адрес — это не фишинговый адрес, а MetaMask, существовавший несколько дней назад: EIP-7702 Delegator Ox63c0c19a2»

Это делаетdent еще более сложным, чем предыдущие попытки использования функции EIP-7702. С помощью этого механизма злоумышленники могли выбирать токены для кражи с адреса жертвы. Сянь добавил, что это показывает, как фишинговые группировки продолжают находить новые и изобретательные способы кражи средств пользователей. Таким образом, пользователям криптовалюты следует быть осторожными, чтобы не потерять свои активы.

Что касается того, как злоумышленникам удалось взломать кошелек пользователя, он объяснил , что жертва, вероятно, посетила фишинговый сайт иdentодобрила операцию, не обратив на это внимания.

Мошенники, использующие фишинговую атаку, взламывают EIP-7702

Этотdent вызывает дополнительные вопросы о безопасности функцииtracучетных записей EIP-7702, которая была представлена ​​в обновлении Pectra несколько недель назад. С момента ее внедрения ее начали использовать многие пользователи, и, по данным Dune Analytics от Wintermute Research, количество делегирований превышает 48 000.

Эта функция позволяет пользователям Ethereum временно активировать возможности смарт-tracдля своих внешних учетных записей (EOA), делегируя управление адресу, код которого они хотят выполнить.

Как правило, EOA — это базовые учетные записи Ethereum без таких функций, как спонсорство газа, альтернативная аутентификация и пакетная обработка транзакций. Благодаря этим функциям пользователи получают улучшенный опыт использования той же базовой учетной записи.

Однако то, что должно было улучшить пользовательский опыт, теперь подвергает пользователей новым рискам. Значительное число из 7702 авторизованных делегаторов представляют собой злонамеренныеtrac, которые крадут средства пользователей: по данным Dune Analytics, 36,3% из 175 делегированных контрактовtracкак преступления.

По данным GoPlus Security, средства, отправленные на любой затронутый EOA, автоматическиmaticна адрес мошенника. Это позволяет фишинговым злоумышленникам красть средства, предназначенные для зараженных адресов.

Пользователей настоятельно призывают защищаться от фишинговых атак

Между тем, появление новых векторов угроз заставило экспертов призвать пользователей криптовалют быть более бдительными. Сянь отметил, что пользователям необходимо проверять наличие каких-либо аномальных авторизаций токенов и убедиться, что они не были делегированы на фишинговый адрес.

Он посоветовал им проверить это, просмотрев записи об авторизации в браузере блоков, и отменить такую ​​авторизацию, переключившись на кошелек, поддерживающий EIP-7702.

Ведущий Ethereum кошелек MetaMask также предостерег пользователей от перехода по любым внешним ссылкам или электронным письмам, требующим обновления кошелька доtracзаписей смарт-контрактов. Всплывающее окно в кошельке указывало, что любое предложение о переходе на смарт-аккаунт будет размещено внутри кошелька.

Компания GoPlus, , также подчеркнула важнейшие меры безопасности, включая проверку адресов авторизации, проверку исходного кода контрактовtractractractractractractractractrac.