自 5 月 7 日 Pectra 升级激活以来,许多用户争先恐后地启用 EIP-7702 智能账户,却没有意识到其中存在的风险。.
此次升级使外部账户 (EOA) 能够通过签名消息委托控制权,从而短暂地充当智能trac钱包。虽然该功能提升了用户体验,但 EIP-7702 也使用户面临新的安全风险,需要紧急关注。.
据称,排名第 7702 的委托方是一个网络钓鱼骗局
据 GoPlus Security 称,来自 bundlebear.com 的链上数据显示,超过 1 万个地址使用了智能账户。
GoPlus 通过trac代码反编译发现,一旦用户使用 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b 地址授权恶意委托人,任何转入其账户的 ETH 都会matic重定向到诈骗者的地址。.
分析代码后发现,授权后所有 ETH 都会自动重定向到诈骗钱包 0x000085bad,这已被dent为一种复杂的盗窃机制。.
很明显,骗子正在利用人们对Pectra升级的信任。虽然威胁确实存在,但一些主流钱包,例如 MetaMask,已经能够安全地集成 EIP-7702。
GoPlus Security 敦促希望保持安全的用户仅信任钱包界面提供的 7702 功能,并将任何要求升级智能账户的外部链接或电子邮件视为诈骗。.
人们普遍认为 EIP-7702 将极大地提升 Ethereum的用户体验和交易灵活性,但保持警惕至关重要,切勿通过外部链接进行授权。GoPlus Security 警告说,如果有人诱导您在钱包之外进行“升级”,那绝对是骗局。.
其他建议的安全措施包括:永远不要信任用于 7702 授权的电子邮件/URL 链接,始终验证trac源代码,对非开源trac格外谨慎,并确保仔细检查授权地址。.
❗警告❗
🚨 Top 7702 Delegator 被揭露为钓鱼骗局 🚨
随着数千用户在 Pectra 系统升级后争相启用 EIP-7702 智能账户,危险的漏洞也随之出现。虽然这项技术在账户trac方面具有革命性意义,但亟需关注其带来的安全隐患。.
详情⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) 2025年5月20日
硬件钱包也并不更安全。
在 Pectra 更新之前,硬件钱包被认为更安全。但据 Hacken 的链上研究员 Yehor Rudytsia 称,情况已不再如此。.
鲁迪西亚表示,从恶意信息签名的角度来看,硬件钱包现在面临着与热钱包相同的风险。“一旦被恶意签名,所有资金都会瞬间消失,”他说。.
虽然有一些方法可以确保安全,但所有这些方法都需要用户保持警惕。.
“用户不应该签署他们不理解的消息,”鲁迪西亚建议道。他还敦促钱包开发者在要求用户签署委托消息时提供清晰的警告。.
用户需要特别注意EIP-7702引入的新型委托签名格式,因为它们与现有的EIP-191或EIP-712标准不兼容。这些消息通常以简单的32字节哈希值形式出现,并且可能绕过钱包的常规警告。.
“如果消息中包含您的账户随机数,则很可能直接影响您的账户,”乌斯曼警告说。“正常的登录消息或链下承诺通常不会涉及您的随机数。”
更糟糕的是,EIP-7702 允许使用 chain_id = 0 进行签名,这意味着签名后的消息可以在任何 Ethereum兼容链上重放。也就是说,它可以被用于任何地方。.
与硬件钱包相比,多重签名钱包在Pectra升级后仍然更加安全,这得益于其需要多个签名者。单密钥钱包(无论是否为硬件钱包)则必须采用新的签名解析和风险标记工具来防止潜在的攻击。
