紧急安全风险： EthereumEIP-7702 Pectra 已被网络钓鱼诈骗分子感染

自 5 月 7 日 Pectra 升级激活以来，许多用户争先恐后地启用 EIP-7702 智能账户，却没有意识到其中存在的风险。. 

此次升级使外部账户 (EOA) 能够通过签名消息委托控制权，从而短暂地充当智能trac钱包。虽然该功能提升了用户体验，但 EIP-7702 也使用户面临新的安全风险，需要紧急关注。.

据称，排名第 7702 的委托方是一个网络钓鱼骗局

据 GoPlus Security 称，来自 bundlebear.com 的链上数据 显示 ，超过 1 万个地址使用了智能账户。

GoPlus 通过trac代码反编译发现，一旦用户使用 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b 地址授权恶意委托人，任何转入其账户的 ETH 都会matic重定向到诈骗者的地址。.

分析代码后发现，授权后所有 ETH 都会自动重定向到诈骗钱包 0x000085bad，这已被dent为一种复杂的盗窃机制。.

很明显，骗子正在利用人们对 Pectra 升级的信任。虽然威胁确实存在，但一些主流钱包，例如 MetaMask，已经能够安全地集成 EIP-7702。

GoPlus Security 敦促希望保持安全的用户仅信任钱包界面提供的 7702 功能，并将任何要求升级智能账户的外部链接或电子邮件视为诈骗。.

人们普遍认为 EIP-7702 将极大地提升 Ethereum的用户体验和交易灵活性，但保持警惕至关重要，切勿通过外部链接进行授权。GoPlus Security 警告说，如果有人诱导您在钱包之外进行“升级”，那绝对是骗局。.

其他建议的安全措施包括：永远不要信任用于 7702 授权的电子邮件/URL 链接，始终验证trac源代码，对非开源trac格外谨慎，并确保仔细检查授权地址。.

❗警告❗

🚨 Top 7702 Delegator 被揭露为钓鱼骗局 🚨

随着数千用户在 Pectra 系统升级后争相启用 EIP-7702 智能账户，危险的漏洞也随之出现。虽然这项技术在账户trac方面具有革命性意义，但亟需关注其带来的安全隐患。.

详情⬇️

— GoPlus Security 🚦 (@GoPlusSecurity) 2025年5月20日

硬件钱包也并不更安全。

在 Pectra 更新之前，硬件钱包被认为更安全。但据 Hacken 的链上研究员 Yehor Rudytsia 称，情况已不再如此。.

鲁迪西亚表示，从恶意信息签名的角度来看，硬件钱包现在面临着与热钱包相同的风险。“一旦被恶意签名，所有资金都会瞬间消失，”他说。.

虽然有一些方法可以确保安全，但所有这些方法都需要用户保持警惕。.

“用户不应该签署他们不理解的消息，”鲁迪西亚建议道。他还敦促钱包开发者在要求用户签署委托消息时提供清晰的警告。.

用户需要特别注意EIP-7702引入的新型委托签名格式，因为它们与现有的EIP-191或EIP-712标准不兼容。这些消息通常以简单的32字节哈希值形式出现，并且可能绕过钱包的常规警告。.

“如果消息中包含您的账户随机数，则很可能直接影响您的账户，”乌斯曼警告说。“正常的登录消息或链下承诺通常不会涉及您的随机数。”

更糟糕的是，EIP-7702 允许使用 chain_id = 0 进行签名，这意味着签名后的消息可以在任何 Ethereum兼容链上重放。也就是说，它可以被用于任何地方。.

与硬件钱包相比，多重签名钱包在 Pectra 升级后仍然更加安全，这得益于其需要多个签名者。单密钥钱包（无论是否为硬件钱包）则必须采用新的签名解析和风险标记工具来防止潜在的攻击。