Uma carteira Ethereum atualizada para contas inteligentes EIP-7702 perdeu $146,551 em várias memecoins para golpistas de phishing. A empresa de segurança Blockchain Scam Sniffer relatou o incidente, observando que os fundos foram roubados através de transações em lote maliciosas.
De acordo com a empresa, a vítima 0xc6d289d assinou as transações em lote maliciosas, permitindo que os atacantes desviassem os fundos. Os golpistas usaram 0xC83De81A e 0x33dAD2b para executar o ataque.
Após o incidente, o especialista em cibersegurança Yu Xian observou que a exploração de phishing era muito criativa e identificou o popular grupo de phishing Inferno Drainer por trás do incidente. O grupo havia afirmado publicamente que havia encerrado suas atividades, mas um relatório recente da Check Point Research mostra que seu malware continua a ser amplamente utilizado e foi usado para roubar mais de 9 milhões de dólares em ativos cripto nos últimos seis meses.
Xian, o fundador da empresa de segurança em blockchain Slow Mist, observou que os golpistas não mudaram a conta de propriedade externa (EOA) para uma conta de phishing. Em vez disso, utilizaram um mecanismo no delegador Metamask EIP-7702 para completar a autorização em lote de phishing e roubar tokens.
Ele disse:
"O que quero dizer com um pouco de criatividade é que desta vez, o endereço EOA do usuário não foi trocado pelo endereço do contrato 7702 através de phishing. Em outras palavras, o endereço delegador não é um endereço de phishing, mas o MetaMask que existia há alguns dias: Delegador EIP-7702 Ox63c0c19a2."
Isso torna o incidente ainda mais complexo do que as tentativas anteriores de explorar a funcionalidade EIP-7702. Através do mecanismo, os atacantes podiam selecionar tokens para roubar do endereço da vítima. Xian acrescentou que isso mostra como as gangues de phishing continuam a encontrar novas e criativas maneiras de roubar os fundos dos usuários. Assim, os usuários de cripto devem ter cuidado para não perderem seus ativos.
Quanto a como os atacantes conseguiram comprometer a carteira do usuário, ele explicou que a vítima provavelmente visitou um site de phishing e acidentalmente aprovou a operação sem prestar atenção.
Golpistas de phishing a explorar EIP-7702
O incidente levanta mais questões sobre a segurança do recurso de abstração de conta EIP-7702, que foi introduzido com a atualização Pectra há algumas semanas. Desde a sua introdução, muitas pessoas o adotaram, com dados da Dune Analytics da Wintermute Research mostrando mais de 48.000 delegações.
A funcionalidade permite que os utilizadores de Ethereum ativem temporariamente capacidades de carteira de contrato inteligente para as suas contas de propriedade externa (EOA), delegando o controlo a um endereço cujo código desejam executar.
Geralmente, as EOAs são contas básicas do Ethereum sem funcionalidades como patrocínio de gás, autenticação alternativa e agrupamento de transações. Com essas características, os usuários têm uma experiência aprimorada a partir da mesma conta básica.
No entanto, o que era para melhorar a experiência do utilizador agora expõe os utilizadores a novos riscos. Um número considerável dos 7702 delegadores autorizados são contratos maliciosos que roubam os fundos dos utilizadores, com dados da Dune Analytics a classificar 36,3% dos 175 contratos deleGate como crimes.
De acordo com a GoPlus Security, os fundos enviados para qualquer EOA afetada são automaticamente redirecionados para o endereço do golpista. Isso permite que os atacantes de phishing roubem fundos destinados a endereços infectados.
Usuários são aconselhados a se protegerem contra fraudes de phishing
Entretanto, o surgimento de novos vetores de ameaça levou os especialistas a chamar os utilizadores de cripto para serem mais vigilantes. Xian observou que os utilizadores precisam de verificar se há alguma autorização anormal de tokens e garantir que não foram delegados a um endereço de phishing.
Ele aconselhou que eles podem verificar isso visualizando seus registros de autorização através de seu navegador de blocos e cancelar tal autorização trocando para uma carteira que suporte EIP-7702.
Aviso da Metamask para os usuários (Fonte: GoPlus Security)
A principal carteira Ethereum, MetaMask, também alertou os usuários para não clicarem em nenhum link externo ou e-mail que exija que eles atualizem suas carteiras para contas de contrato inteligente. Um aviso na carteira afirmou que qualquer solicitação para mudar para uma conta inteligente estaria dentro da carteira.
A empresa de segurança Web3 GoPlus também destacou medidas de segurança cruciais, incluindo verificar endereços de autorização, verificar o código-fonte do contrato e ter cautela com contratos não de código aberto.
Academia Cryptopolitan: Em Breve - Uma Nova Forma de Ganhar Rendimento Passivo com DeFi em 2025. Saiba Mais
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Nova funcionalidade do Ethereum explorada apenas semanas após o lançamento em um golpe de phishing de $146K
Uma carteira Ethereum atualizada para contas inteligentes EIP-7702 perdeu $146,551 em várias memecoins para golpistas de phishing. A empresa de segurança Blockchain Scam Sniffer relatou o incidente, observando que os fundos foram roubados através de transações em lote maliciosas.
De acordo com a empresa, a vítima 0xc6d289d assinou as transações em lote maliciosas, permitindo que os atacantes desviassem os fundos. Os golpistas usaram 0xC83De81A e 0x33dAD2b para executar o ataque.
Após o incidente, o especialista em cibersegurança Yu Xian observou que a exploração de phishing era muito criativa e identificou o popular grupo de phishing Inferno Drainer por trás do incidente. O grupo havia afirmado publicamente que havia encerrado suas atividades, mas um relatório recente da Check Point Research mostra que seu malware continua a ser amplamente utilizado e foi usado para roubar mais de 9 milhões de dólares em ativos cripto nos últimos seis meses.
Xian, o fundador da empresa de segurança em blockchain Slow Mist, observou que os golpistas não mudaram a conta de propriedade externa (EOA) para uma conta de phishing. Em vez disso, utilizaram um mecanismo no delegador Metamask EIP-7702 para completar a autorização em lote de phishing e roubar tokens.
Ele disse:
"O que quero dizer com um pouco de criatividade é que desta vez, o endereço EOA do usuário não foi trocado pelo endereço do contrato 7702 através de phishing. Em outras palavras, o endereço delegador não é um endereço de phishing, mas o MetaMask que existia há alguns dias: Delegador EIP-7702 Ox63c0c19a2."
Isso torna o incidente ainda mais complexo do que as tentativas anteriores de explorar a funcionalidade EIP-7702. Através do mecanismo, os atacantes podiam selecionar tokens para roubar do endereço da vítima. Xian acrescentou que isso mostra como as gangues de phishing continuam a encontrar novas e criativas maneiras de roubar os fundos dos usuários. Assim, os usuários de cripto devem ter cuidado para não perderem seus ativos.
Quanto a como os atacantes conseguiram comprometer a carteira do usuário, ele explicou que a vítima provavelmente visitou um site de phishing e acidentalmente aprovou a operação sem prestar atenção.
Golpistas de phishing a explorar EIP-7702
O incidente levanta mais questões sobre a segurança do recurso de abstração de conta EIP-7702, que foi introduzido com a atualização Pectra há algumas semanas. Desde a sua introdução, muitas pessoas o adotaram, com dados da Dune Analytics da Wintermute Research mostrando mais de 48.000 delegações.
A funcionalidade permite que os utilizadores de Ethereum ativem temporariamente capacidades de carteira de contrato inteligente para as suas contas de propriedade externa (EOA), delegando o controlo a um endereço cujo código desejam executar.
Geralmente, as EOAs são contas básicas do Ethereum sem funcionalidades como patrocínio de gás, autenticação alternativa e agrupamento de transações. Com essas características, os usuários têm uma experiência aprimorada a partir da mesma conta básica.
No entanto, o que era para melhorar a experiência do utilizador agora expõe os utilizadores a novos riscos. Um número considerável dos 7702 delegadores autorizados são contratos maliciosos que roubam os fundos dos utilizadores, com dados da Dune Analytics a classificar 36,3% dos 175 contratos deleGate como crimes.
De acordo com a GoPlus Security, os fundos enviados para qualquer EOA afetada são automaticamente redirecionados para o endereço do golpista. Isso permite que os atacantes de phishing roubem fundos destinados a endereços infectados.
Usuários são aconselhados a se protegerem contra fraudes de phishing
Entretanto, o surgimento de novos vetores de ameaça levou os especialistas a chamar os utilizadores de cripto para serem mais vigilantes. Xian observou que os utilizadores precisam de verificar se há alguma autorização anormal de tokens e garantir que não foram delegados a um endereço de phishing.
Ele aconselhou que eles podem verificar isso visualizando seus registros de autorização através de seu navegador de blocos e cancelar tal autorização trocando para uma carteira que suporte EIP-7702.
Aviso da Metamask para os usuários (Fonte: GoPlus Security)
A principal carteira Ethereum, MetaMask, também alertou os usuários para não clicarem em nenhum link externo ou e-mail que exija que eles atualizem suas carteiras para contas de contrato inteligente. Um aviso na carteira afirmou que qualquer solicitação para mudar para uma conta inteligente estaria dentro da carteira.
A empresa de segurança Web3 GoPlus também destacou medidas de segurança cruciais, incluindo verificar endereços de autorização, verificar o código-fonte do contrato e ter cautela com contratos não de código aberto.
Academia Cryptopolitan: Em Breve - Uma Nova Forma de Ganhar Rendimento Passivo com DeFi em 2025. Saiba Mais