安全分析师警告称，EIP-7702漏洞可能导致用户在一次网络钓鱼攻击中损失154万美元。

分析师们对与相对较新的 Ethereum 改进提案 (EIP-7702) 功能相关的漏洞发出警告，此前一起网络钓鱼攻击导致一名投资者损失超过一百万美元。. 

反欺诈服务 Scam Sniffer 注意到， 网络钓鱼诈骗有所增加，攻击者将目标锁定在根据新的 EIP-7702 标准升级的地址上。

EIP-7702 功能是 5 月份 Pectra 升级的一部分，旨在通过允许外部拥有的账户 (EOA) 暂时像智能trac一样运行来增强钱包功能。.

此功能允许在单个事务中执行多个操作，从而鼓励优化，提高合法用户的效率。然而，据报道，此功能也为他们打开了新的攻击窗口。.

本月至少有三名受害者。

据报道，最新一名受害者 损失 总计154万美元。据称，部分资金已通过中继协议转移到主网。

两天前，Scam Sniffer 宣布另一名投资者在签署伪装成 Uniswap 互换的钓鱼批量交易后，损失了价值 100 万美元的代币和 NFT。.

几周前，反欺诈服务部门报告称，一个升级后的 EIP-7702 地址因同一团伙使用相同漏洞而损失了 6.6 万美元。.

这些骗局涉及一个虚假的去中心 DeFi 界面，该界面通常模仿Uniswap等平台。受害者被诱导批准一些乍看之下像是例行交易，但实际上却是被授权的隐藏转账。.

一旦获得批准，攻击者几乎会立即清空钱包，窃取加密货币和 NFT。.

据诈骗嗅探器（Scam Sniffer）称，由于EIP-7702是近期才出现的，许多用户仍然对其风险一无所知。由于恶意交易通常伪装成正常交易，因此毫无戒心的用户很容易上当受骗。.

自6月以来，安全专家已报告了EIP-7702漏洞利用情况。

Scam Sniffer 已证实，针对升级至 EI​​P-7702 地址的网络钓鱼攻击有所增加，这表明攻击呈上升趋势。然而，这并非新趋势，安全专家几个月来一直在报告dent。.

今年 6 月，Wintermute 的研究人员透露，攻击者利用“自动清扫器”攻击，针对多个毫无戒心的加密钱包发起攻击，这次使用的是“委托trac”——这是 EIP 7702 的一部分推出的一项新功能。.

EIP-7702在带来新的便利的同时，也引入了新的风险。

我们的研究团队发现，超过 97% 的 EIP-7702 委托都使用完全相同的代码授权给了多个trac。这些是清仓器，用于自动matic被盗用的账户中抽取传入的 ETH…… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) 2025年5月30日

Wintermute 通过其官方 X 账号发布了一系列推文，声称其研究团队发现超过 80% 的 EIP-7702 委托都使用了完全相同的代码授权多个trac。他们称这些委托为“清仓器”，并报告称它们被用于matic从被盗地址中抽取传入的 ETH。.

尽管 Ethereum 基金会于 5 月 14 日宣布了一项价值一万亿美元的安全计划，但黑客恶意窃取钱包中 ETH 的行为仍在继续。.

为了安全起见，诈骗嗅探器敦促用户在批准批量交易时要谨慎警惕，并在签署任何内容之前仔细验证界面。.

旨在模仿合法 DeFi 平台已被视为加密货币领域最常见的攻击途径之一，而批量交易的引入虽然已被证明可以改善合法应用程序的用户体验，但也增加了复杂性，同时增加了被利用的可能性。.

解决此问题的最佳方法是仅使用受信任的应用程序，并在每次交易（无论是否批量处理）期间三重检查授予的权限。.