Sejak peningkatan Pectra diaktifkan pada 7 Mei, banyak pengguna telah berusaha untuk mengaktifkan akun cerdas EIP-7702, tanpa menyadari risiko yang terkait.
Pembaruan ini memungkinkan Akun yang Dimiliki Secara Eksternal (EOAs) untuk bertindak sementara sebagai dompet kontrak pintar dengan mendelegasikan kontrol melalui pesan yang ditandatangani. Meskipun fitur ini meningkatkan pengalaman pengguna, EIP-7702 juga telah mengekspos pengguna pada risiko keamanan baru yang memerlukan perhatian mendesak.
Delegator teratas 7702 diduga merupakan penipuan phishing
Menurut GoPlus Security, data on-chain dari bundlebear.com telah mengungkapkan lebih dari 10k alamat yang menggunakan akun pintar.
GoPlus menemukan bahwa setelah pengguna mengizinkan alamat delegator jahat, setiap ETH yang ditransfer ke akun mereka secara otomatis dialihkan ke alamat penipu. Sumber: Keamanan GoPlus
Dengan menggunakan dekompilasi kode kontrak, GoPlus menemukan bahwa setelah pengguna memberikan wewenang kepada delegator jahat dengan alamat 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b, setiap ETH yang ditransfer ke akun mereka secara otomatis dialihkan ke alamat penipu.
Setelah menganalisis kode, terungkap bahwa setelah otorisasi, semua ETH secara otomatis dialihkan ke dompet penipu 0x000085bad dalam apa yang telah diidentifikasi sebagai mekanisme pencurian yang canggih.
Setiap ETH yang ditransfer ke dompet korban secara otomatis diarahkan kembali ke dompet penipu 0x000085bad. Sumber: GoPlus Security
Jelas bahwa penipu memanfaatkan kepercayaan orang terhadap peningkatan Pectra. Meskipun ancamannya sangat nyata, beberapa dompet terkemuka seperti MetaMask telah berhasil mengintegrasikan EIP-7702 dengan aman.
GoPlus Security telah mendesak pengguna yang ingin tetap aman untuk hanya mempercayai antarmuka dompet untuk fitur 7702 dan menganggap semua tautan eksternal atau email yang meminta pembaruan akun pintar sebagai penipuan.
Disepakati bahwa EIP-7702 akan memberikan keajaiban bagi UX Ethereum dan fleksibilitas transaksi, tetapi sangat penting untuk tetap waspada dan tidak pernah memberikan otorisasi melalui tautan eksternal. GoPlus Security memperingatkan bahwa jika ada yang mendorong Anda untuk "mengupgrade" di luar dompet Anda, maka itu 100% penipuan.
Langkah-langkah keamanan lain yang direkomendasikan termasuk tidak pernah mempercayai tautan email/URL untuk otorisasi 7702, selalu memverifikasi kode sumber kontrak, lebih berhati-hati dengan kontrak non-sumber terbuka, dan memastikan untuk memeriksa alamat otorisasi dengan cermat.
❗PERINGATAN❗
🚨 Top 7702 Delegator Terungkap sebagai Penipuan Phishing 🚨
Saat ribuan orang bergegas untuk mengaktifkan akun pintar EIP-7702 setelah pembaruan Pectra, kerentanan berbahaya telah muncul. Meskipun revolusioner untuk abstraksi akun, risiko keamanan mendesak perlu mendapatkan perhatian.
Detail ⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) 20 Mei 2025
Dompet perangkat keras juga tidak lebih aman
Sebelum pembaruan Pectra, dompet perangkat keras dianggap lebih aman. Namun menurut Yehor Rudytsia, peneliti on-chain di Hacken, hal itu tidak lagi berlaku.
Rudytsia mengatakan bahwa dompet perangkat keras sekarang memiliki risiko yang sama dengan dompet panas dari perspektif menandatangani pesan jahat. "Jika dilakukan, semua dana akan hilang dalam sekejap," katanya.
Meskipun ada cara untuk tetap aman, semuanya memerlukan kewaspadaan dari pihak pengguna.
"Pengguna seharusnya tidak menandatangani pesan yang tidak mereka pahami," saran Rudytsia. Ia juga mendesak pengembang dompet untuk memberikan peringatan yang jelas ketika pengguna diminta untuk menandatangani pesan delegasi.
Pengguna perlu sangat berhati-hati terhadap format tanda tangan delegasi baru yang diperkenalkan oleh EIP-7702, karena tidak kompatibel dengan standar EIP-191 atau EIP-712 yang ada. Pesan-pesan ini sering muncul sebagai hash 32-byte sederhana dan dapat melewati peringatan normal dari dompet.
"Jika sebuah pesan menyertakan nonce akun Anda, itu mungkin berdampak langsung pada akun Anda," peringatan Usman. "Pesan masuk normal atau komitmen offchain biasanya tidak melibatkan nonce Anda."
Yang lebih buruk, EIP-7702 memungkinkan tanda tangan dengan chain_id = 0, yang berarti pesan yang ditandatangani dapat diputar ulang di mana saja di rantai yang kompatibel dengan Ethereum. Ini berarti dapat digunakan di mana saja.
Dibandingkan dengan dompet perangkat keras, dompet multisignature tetap lebih aman di bawah upgrade Pectra, berkat kebutuhan mereka akan beberapa penandatangan. Dompet kunci tunggal — perangkat keras atau lainnya — harus mengadopsi alat pemrosesan tanda tangan baru dan penandaan merah untuk mencegah potensi eksploitasi.
Akademi Cryptopolitan: Bosan dengan fluktuasi pasar? Pelajari bagaimana DeFi dapat membantu Anda membangun pendapatan pasif yang stabil. Daftar Sekarang
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Risiko keamanan mendesak: EIP-7702 Pectra Ethereum sudah terinfeksi oleh penipu phishing
Sejak peningkatan Pectra diaktifkan pada 7 Mei, banyak pengguna telah berusaha untuk mengaktifkan akun cerdas EIP-7702, tanpa menyadari risiko yang terkait.
Pembaruan ini memungkinkan Akun yang Dimiliki Secara Eksternal (EOAs) untuk bertindak sementara sebagai dompet kontrak pintar dengan mendelegasikan kontrol melalui pesan yang ditandatangani. Meskipun fitur ini meningkatkan pengalaman pengguna, EIP-7702 juga telah mengekspos pengguna pada risiko keamanan baru yang memerlukan perhatian mendesak.
Delegator teratas 7702 diduga merupakan penipuan phishing
Menurut GoPlus Security, data on-chain dari bundlebear.com telah mengungkapkan lebih dari 10k alamat yang menggunakan akun pintar.
GoPlus menemukan bahwa setelah pengguna mengizinkan alamat delegator jahat, setiap ETH yang ditransfer ke akun mereka secara otomatis dialihkan ke alamat penipu. Sumber: Keamanan GoPlus
Dengan menggunakan dekompilasi kode kontrak, GoPlus menemukan bahwa setelah pengguna memberikan wewenang kepada delegator jahat dengan alamat 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b, setiap ETH yang ditransfer ke akun mereka secara otomatis dialihkan ke alamat penipu.
Setelah menganalisis kode, terungkap bahwa setelah otorisasi, semua ETH secara otomatis dialihkan ke dompet penipu 0x000085bad dalam apa yang telah diidentifikasi sebagai mekanisme pencurian yang canggih.
Setiap ETH yang ditransfer ke dompet korban secara otomatis diarahkan kembali ke dompet penipu 0x000085bad. Sumber: GoPlus Security
Jelas bahwa penipu memanfaatkan kepercayaan orang terhadap peningkatan Pectra. Meskipun ancamannya sangat nyata, beberapa dompet terkemuka seperti MetaMask telah berhasil mengintegrasikan EIP-7702 dengan aman.
GoPlus Security telah mendesak pengguna yang ingin tetap aman untuk hanya mempercayai antarmuka dompet untuk fitur 7702 dan menganggap semua tautan eksternal atau email yang meminta pembaruan akun pintar sebagai penipuan.
Disepakati bahwa EIP-7702 akan memberikan keajaiban bagi UX Ethereum dan fleksibilitas transaksi, tetapi sangat penting untuk tetap waspada dan tidak pernah memberikan otorisasi melalui tautan eksternal. GoPlus Security memperingatkan bahwa jika ada yang mendorong Anda untuk "mengupgrade" di luar dompet Anda, maka itu 100% penipuan.
Langkah-langkah keamanan lain yang direkomendasikan termasuk tidak pernah mempercayai tautan email/URL untuk otorisasi 7702, selalu memverifikasi kode sumber kontrak, lebih berhati-hati dengan kontrak non-sumber terbuka, dan memastikan untuk memeriksa alamat otorisasi dengan cermat.
❗PERINGATAN❗
🚨 Top 7702 Delegator Terungkap sebagai Penipuan Phishing 🚨
Saat ribuan orang bergegas untuk mengaktifkan akun pintar EIP-7702 setelah pembaruan Pectra, kerentanan berbahaya telah muncul. Meskipun revolusioner untuk abstraksi akun, risiko keamanan mendesak perlu mendapatkan perhatian.
Detail ⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) 20 Mei 2025
Dompet perangkat keras juga tidak lebih aman
Sebelum pembaruan Pectra, dompet perangkat keras dianggap lebih aman. Namun menurut Yehor Rudytsia, peneliti on-chain di Hacken, hal itu tidak lagi berlaku.
Rudytsia mengatakan bahwa dompet perangkat keras sekarang memiliki risiko yang sama dengan dompet panas dari perspektif menandatangani pesan jahat. "Jika dilakukan, semua dana akan hilang dalam sekejap," katanya.
Meskipun ada cara untuk tetap aman, semuanya memerlukan kewaspadaan dari pihak pengguna.
"Pengguna seharusnya tidak menandatangani pesan yang tidak mereka pahami," saran Rudytsia. Ia juga mendesak pengembang dompet untuk memberikan peringatan yang jelas ketika pengguna diminta untuk menandatangani pesan delegasi.
Pengguna perlu sangat berhati-hati terhadap format tanda tangan delegasi baru yang diperkenalkan oleh EIP-7702, karena tidak kompatibel dengan standar EIP-191 atau EIP-712 yang ada. Pesan-pesan ini sering muncul sebagai hash 32-byte sederhana dan dapat melewati peringatan normal dari dompet.
"Jika sebuah pesan menyertakan nonce akun Anda, itu mungkin berdampak langsung pada akun Anda," peringatan Usman. "Pesan masuk normal atau komitmen offchain biasanya tidak melibatkan nonce Anda."
Yang lebih buruk, EIP-7702 memungkinkan tanda tangan dengan chain_id = 0, yang berarti pesan yang ditandatangani dapat diputar ulang di mana saja di rantai yang kompatibel dengan Ethereum. Ini berarti dapat digunakan di mana saja.
Dibandingkan dengan dompet perangkat keras, dompet multisignature tetap lebih aman di bawah upgrade Pectra, berkat kebutuhan mereka akan beberapa penandatangan. Dompet kunci tunggal — perangkat keras atau lainnya — harus mengadopsi alat pemrosesan tanda tangan baru dan penandaan merah untuk mencegah potensi eksploitasi.
Akademi Cryptopolitan: Bosan dengan fluktuasi pasar? Pelajari bagaimana DeFi dapat membantu Anda membangun pendapatan pasif yang stabil. Daftar Sekarang