Атаки фішингу зростають: серпень 2025 року побив рекорд з понад 15 000 жертв, оскільки експлойти EIP-7702 посилилися

Останній щомісячний звіт ScamSniffer показує значне відновлення фішингових активностей у серпні 2025 року, з фінансовими збитками, що досягли 12,17 мільйона доларів - що становить 72% збільшення в порівнянні з липнем. Це один з найвищих щомісячних показників цього року, після того як збитки досягли піку в 10,25 мільйона доларів у січні, перш ніж знизитися до найнижчої точки у 2,80 мільйона доларів у червні.

Рекордно велика кількість жертв

Кількість користувачів, які постраждали від фішингових шахрайств, досягла безпрецедентних рівнів у серпні, з 15,230 жертвами, зафіксованими - це на 67% більше, ніж у липні, коли було 9,143 жертв. Це вперше в 2025 році, коли місячна кількість жертв перевищила 10,000, перевищивши навіть попередній рекорд січня з 9,220 постраждалими користувачами.

Помітні інциденти включають:

• Один користувач втратив $3.08 мільйона 6 серпня після того, як без відома погодив шкідливу транзакцію, яка перевела їхні aEthUSDT токени на фішинговий контракт
• Три основні справи становили 46% усіх збитків у серпні
• Один жертва втратила 1,54 мільйона доларів після підписання фішингової пакетної транзакції EIP-7702
• Інший користувач втратив приблизно $1 мільйон у криптовалютах і невзаємозамінних токенах через подібні вектори атаки

EIP-7702 Ривок домінує в атаках серпня

Аналіз ScamSniffer виявляє різкий ривок у шахрайських схемах з пакетними підписами EIP-7702, які стали причиною більшості втрат у серпні. Цей вектор атаки не лише спричинив дві з трьох найбільших фінансових втрат за місяць, але й вплинув на численних інших користувачів:

• Користувач 0x4897e втратив $235,977 через пакетні перекази, замасковані під легітимні DEX обміни
• Користувач 0x5ad31d втратив $66,000 через подібні обманні транзакції
• Аналітики з безпеки виявили чіткий патерн фішерів, які спеціально націлюються на адреси, що оновилися до EIP-7702

EIP-7702, представлений під час оновлення Ethereum Pectra у червні, дозволяє зовнішнім обліковим записам (EOAs) тимчасово використовувати можливості смарт-контрактів, включаючи пакетну обробку транзакцій. Хоча ця функція розроблена для покращення досвіду користувача, вона ненавмисно створила вразливість у безпеці, яку все частіше експлуатують зловмисники.

Згідно з ScamSniffer: “Цього разу зловмисники використовують пакетні перекази ( на відміну від попередніх пакетних затверджень ), маршрутизуючи через Uniswap Universal Router, щоб виглядати легітимно.”

Експлуатація вразливостей EIP-7702 відбувається з моменту оновлення Pectra в червні, але останнім часом посилилася, оскільки зловмисники вдосконалюють свої техніки. Використовуючи автоматизовані атаки-суперники, вони можуть вкрасти будь-які кошти, внесені на скомпрометовані адреси.

Власники токенів WLFI підвищеного ризику

Проблеми з вразливістю стали особливо вираженими серед тримачів токенів World Liberty Financial (WLFI). Засновник SlowMist Ю Сян нещодавно зауважив, що зловмисники спеціально націлюються на тримачів WLFI через складний підхід:

1. Отримання приватних ключів через фішингові атаки
2. Налаштування механізмів експлуатації EIP-7702 для скомпрометованої адреси
3. Негайно красти токени, як тільки їх розблокують

Це спонукало запити від постраждалих користувачів до команди WLFI впровадити опції прямого переказу для захисту адрес на білому списку WLFI, які вже були скомпрометовані.

Отруєння адреси продовжує загрожувати користувачам

Окрім експлойтів EIP-7702, отруєння адрес залишається постійною загрозою для користувачів криптовалюти. Кілька значних втрат у серпні були пов'язані з цією технікою:

• Один користувач втратив $636,559 після того, як скопіював неправильну адресу депозиту зі свого зараженого адресного записника
• Двоє інших користувачів втратили $500,000 та $19,000 відповідно через подібні інциденти отруєння адрес.

У цих випадках шахрайські адреси були створені для імітації законних, з ідентичними першими шістьма та останніми чотирма символами - класична ознака атак отруєння адрес.

Збільшення прямих переказів на фішингові контракти, ймовірно, стало можливим завдяки шкідливій рекламі. ScamSniffer зазначив, що фішингові оголошення, які з'являються в результатах пошуку Google, часто використовують Google Sites для розміщення фальшивих DeFi інтерфейсів. Ще більш тривожним є те, що результати пошуку Bing ранжували фішингові сайти як результат №1 для користувачів, які шукають популярні платформи блокчейн-аналітики.