Kể từ khi nâng cấp Pectra được kích hoạt vào ngày 7 tháng 5, nhiều người dùng đã lao vào việc kích hoạt các tài khoản thông minh EIP-7702 mà không nhận thức được những rủi ro kèm theo.
Bản nâng cấp cho phép Tài khoản Sở hữu Bên ngoài (EOAs) tạm thời hoạt động như ví hợp đồng thông minh bằng cách ủy quyền kiểm soát thông qua một thông điệp đã ký. Mặc dù tính năng này nâng cao trải nghiệm người dùng, EIP-7702 cũng đã phơi bày người dùng trước những rủi ro bảo mật mới cần được chú ý khẩn cấp.
Top 7702 người ủy quyền được cho là một trò lừa đảo phishing
Theo GoPlus Security, dữ liệu trên chuỗi từ bundlebear.com đã tiết lộ hơn 10k địa chỉ sử dụng tài khoản thông minh.
GoPlus đã phát hiện rằng một khi người dùng ủy quyền cho địa chỉ ủy quyền độc hại, bất kỳ ETH nào được chuyển đến tài khoản của họ sẽ tự động được chuyển hướng đến địa chỉ của kẻ lừa đảo. Nguồn: GoPlus Security
Sử dụng mã hợp đồng giải nén, GoPlus phát hiện rằng khi người dùng ủy quyền cho người ủy quyền độc hại với địa chỉ 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b, bất kỳ ETH nào được chuyển đến tài khoản của họ sẽ tự động được chuyển hướng đến địa chỉ của kẻ lừa đảo.
Sau khi phân tích mã, đã phát hiện ra rằng sau khi được ủy quyền, tất cả ETH sẽ tự động được chuyển hướng đến ví lừa đảo 0x000085bad trong một cơ chế ăn cắp tinh vi đã được xác định.
Mỗi ETH được chuyển đến ví của nạn nhân sẽ tự động được chuyển hướng đến ví của kẻ lừa đảo 0x000085bad. Nguồn: GoPlus Security
Rõ ràng kẻ lừa đảo đang lợi dụng lòng tin mà mọi người có vào việc nâng cấp Pectra. Trong khi mối đe dọa là rất thực, một số ví hàng đầu như MetaMask đã có thể tích hợp an toàn EIP-7702.
GoPlus Security đã khuyến cáo người dùng muốn an toàn chỉ nên tin tưởng vào giao diện ví cho các tính năng 7702 và coi bất kỳ liên kết bên ngoài hoặc email nào yêu cầu nâng cấp tài khoản thông minh là lừa đảo.
Đã có sự đồng ý rằng EIP-7702 sẽ mang lại điều kỳ diệu cho trải nghiệm người dùng (UX) và tính linh hoạt giao dịch của Ethereum, nhưng điều quan trọng là phải luôn cảnh giác và không bao giờ ủy quyền qua các liên kết bên ngoài. GoPlus Security cảnh báo rằng nếu ai đó thúc giục bạn “nâng cấp” bên ngoài ví của bạn, thì đó 100% là một trò lừa đảo.
Các biện pháp an toàn khác được khuyến nghị bao gồm không bao giờ tin tưởng vào các liên kết email/URL cho 7702 authorization, luôn xác minh mã nguồn hợp đồng, cẩn thận hơn với các hợp đồng không mã nguồn mở và đảm bảo kiểm tra kỹ các địa chỉ ủy quyền.
❗CẢNH BÁO❗
🚨 Top 7702 Người Ủng Hộ Được Tiết Lộ Là Lừa Đảo Lừa Đảo 🚨
Khi hàng ngàn người đổ xô kích hoạt các tài khoản thông minh EIP-7702 sau nâng cấp Pectra, những lỗ hổng nguy hiểm đã xuất hiện. Mặc dù cách mạng hóa cho việc trừu tượng hóa tài khoản, nhưng các rủi ro an ninh cấp bách cần được chú ý.
Chi tiết ⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) Ngày 20 tháng 5, 2025
Ví phần cứng cũng không an toàn hơn.
Trước bản cập nhật Pectra, ví phần cứng được coi là an toàn hơn. Nhưng theo Yehor Rudytsia, nhà nghiên cứu on-chain tại Hacken, điều đó không còn đúng nữa.
Rudytsia nói rằng ví phần cứng hiện đang có cùng mức độ rủi ro như ví nóng từ quan điểm ký các tin nhắn độc hại. “Nếu xảy ra, tất cả các quỹ sẽ biến mất trong chớp mắt,” ông ấy nói.
Mặc dù có những cách để giữ an toàn, nhưng tất cả đều cần sự cảnh giác từ phía người dùng.
“Người dùng không nên ký các tin nhắn mà họ không hiểu,” Rudytsia khuyên. Ông cũng kêu gọi các nhà phát triển ví cung cấp cảnh báo rõ ràng khi người dùng được yêu cầu ký một tin nhắn ủy quyền.
Người dùng cần đặc biệt cẩn trọng với các định dạng chữ ký ủy quyền mới được giới thiệu bởi EIP-7702, vì chúng không tương thích với các tiêu chuẩn EIP-191 hoặc EIP-712 hiện có. Các tin nhắn này thường xuất hiện dưới dạng băm 32 byte đơn giản và có thể bỏ qua các cảnh báo bình thường của ví.
“Nếu một tin nhắn bao gồm nonce tài khoản của bạn, nó có thể ảnh hưởng trực tiếp đến tài khoản của bạn,” Usman cảnh báo. “Các tin nhắn đăng nhập bình thường hoặc cam kết offchain thường không liên quan đến nonce của bạn.”
Thậm chí tệ hơn, EIP-7702 cho phép chữ ký với chain_id = 0, có nghĩa là thông điệp đã ký có thể bị phát lại trên bất kỳ chuỗi tương thích với Ethereum nào. Điều này có nghĩa là nó có thể được sử dụng ở bất kỳ đâu.
So với ví phần cứng, ví đa chữ ký vẫn an toàn hơn dưới bản nâng cấp Pectra, nhờ vào yêu cầu cần nhiều người ký. Ví đơn khóa — phần cứng hay không — sẽ phải áp dụng các công cụ phân tích chữ ký và cảnh báo đỏ mới để ngăn chặn khả năng khai thác tiềm ẩn.
Cryptopolitan Academy: Bạn mệt mỏi với những biến động của thị trường? Hãy tìm hiểu cách DeFi có thể giúp bạn xây dựng thu nhập thụ động ổn định. Đăng ký ngay
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Rủi ro an ninh khẩn cấp: EIP-7702 Pectra của Ethereum đã bị nhiễm bởi lừa đảo phishing.
Kể từ khi nâng cấp Pectra được kích hoạt vào ngày 7 tháng 5, nhiều người dùng đã lao vào việc kích hoạt các tài khoản thông minh EIP-7702 mà không nhận thức được những rủi ro kèm theo.
Bản nâng cấp cho phép Tài khoản Sở hữu Bên ngoài (EOAs) tạm thời hoạt động như ví hợp đồng thông minh bằng cách ủy quyền kiểm soát thông qua một thông điệp đã ký. Mặc dù tính năng này nâng cao trải nghiệm người dùng, EIP-7702 cũng đã phơi bày người dùng trước những rủi ro bảo mật mới cần được chú ý khẩn cấp.
Top 7702 người ủy quyền được cho là một trò lừa đảo phishing
Theo GoPlus Security, dữ liệu trên chuỗi từ bundlebear.com đã tiết lộ hơn 10k địa chỉ sử dụng tài khoản thông minh.
GoPlus đã phát hiện rằng một khi người dùng ủy quyền cho địa chỉ ủy quyền độc hại, bất kỳ ETH nào được chuyển đến tài khoản của họ sẽ tự động được chuyển hướng đến địa chỉ của kẻ lừa đảo. Nguồn: GoPlus Security
Sử dụng mã hợp đồng giải nén, GoPlus phát hiện rằng khi người dùng ủy quyền cho người ủy quyền độc hại với địa chỉ 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b, bất kỳ ETH nào được chuyển đến tài khoản của họ sẽ tự động được chuyển hướng đến địa chỉ của kẻ lừa đảo.
Sau khi phân tích mã, đã phát hiện ra rằng sau khi được ủy quyền, tất cả ETH sẽ tự động được chuyển hướng đến ví lừa đảo 0x000085bad trong một cơ chế ăn cắp tinh vi đã được xác định.
Mỗi ETH được chuyển đến ví của nạn nhân sẽ tự động được chuyển hướng đến ví của kẻ lừa đảo 0x000085bad. Nguồn: GoPlus Security
Rõ ràng kẻ lừa đảo đang lợi dụng lòng tin mà mọi người có vào việc nâng cấp Pectra. Trong khi mối đe dọa là rất thực, một số ví hàng đầu như MetaMask đã có thể tích hợp an toàn EIP-7702.
GoPlus Security đã khuyến cáo người dùng muốn an toàn chỉ nên tin tưởng vào giao diện ví cho các tính năng 7702 và coi bất kỳ liên kết bên ngoài hoặc email nào yêu cầu nâng cấp tài khoản thông minh là lừa đảo.
Đã có sự đồng ý rằng EIP-7702 sẽ mang lại điều kỳ diệu cho trải nghiệm người dùng (UX) và tính linh hoạt giao dịch của Ethereum, nhưng điều quan trọng là phải luôn cảnh giác và không bao giờ ủy quyền qua các liên kết bên ngoài. GoPlus Security cảnh báo rằng nếu ai đó thúc giục bạn “nâng cấp” bên ngoài ví của bạn, thì đó 100% là một trò lừa đảo.
Các biện pháp an toàn khác được khuyến nghị bao gồm không bao giờ tin tưởng vào các liên kết email/URL cho 7702 authorization, luôn xác minh mã nguồn hợp đồng, cẩn thận hơn với các hợp đồng không mã nguồn mở và đảm bảo kiểm tra kỹ các địa chỉ ủy quyền.
❗CẢNH BÁO❗
🚨 Top 7702 Người Ủng Hộ Được Tiết Lộ Là Lừa Đảo Lừa Đảo 🚨
Khi hàng ngàn người đổ xô kích hoạt các tài khoản thông minh EIP-7702 sau nâng cấp Pectra, những lỗ hổng nguy hiểm đã xuất hiện. Mặc dù cách mạng hóa cho việc trừu tượng hóa tài khoản, nhưng các rủi ro an ninh cấp bách cần được chú ý.
Chi tiết ⬇️
— GoPlus Security 🚦 (@GoPlusSecurity) Ngày 20 tháng 5, 2025
Ví phần cứng cũng không an toàn hơn.
Trước bản cập nhật Pectra, ví phần cứng được coi là an toàn hơn. Nhưng theo Yehor Rudytsia, nhà nghiên cứu on-chain tại Hacken, điều đó không còn đúng nữa.
Rudytsia nói rằng ví phần cứng hiện đang có cùng mức độ rủi ro như ví nóng từ quan điểm ký các tin nhắn độc hại. “Nếu xảy ra, tất cả các quỹ sẽ biến mất trong chớp mắt,” ông ấy nói.
Mặc dù có những cách để giữ an toàn, nhưng tất cả đều cần sự cảnh giác từ phía người dùng.
“Người dùng không nên ký các tin nhắn mà họ không hiểu,” Rudytsia khuyên. Ông cũng kêu gọi các nhà phát triển ví cung cấp cảnh báo rõ ràng khi người dùng được yêu cầu ký một tin nhắn ủy quyền.
Người dùng cần đặc biệt cẩn trọng với các định dạng chữ ký ủy quyền mới được giới thiệu bởi EIP-7702, vì chúng không tương thích với các tiêu chuẩn EIP-191 hoặc EIP-712 hiện có. Các tin nhắn này thường xuất hiện dưới dạng băm 32 byte đơn giản và có thể bỏ qua các cảnh báo bình thường của ví.
“Nếu một tin nhắn bao gồm nonce tài khoản của bạn, nó có thể ảnh hưởng trực tiếp đến tài khoản của bạn,” Usman cảnh báo. “Các tin nhắn đăng nhập bình thường hoặc cam kết offchain thường không liên quan đến nonce của bạn.”
Thậm chí tệ hơn, EIP-7702 cho phép chữ ký với chain_id = 0, có nghĩa là thông điệp đã ký có thể bị phát lại trên bất kỳ chuỗi tương thích với Ethereum nào. Điều này có nghĩa là nó có thể được sử dụng ở bất kỳ đâu.
So với ví phần cứng, ví đa chữ ký vẫn an toàn hơn dưới bản nâng cấp Pectra, nhờ vào yêu cầu cần nhiều người ký. Ví đơn khóa — phần cứng hay không — sẽ phải áp dụng các công cụ phân tích chữ ký và cảnh báo đỏ mới để ngăn chặn khả năng khai thác tiềm ẩn.
Cryptopolitan Academy: Bạn mệt mỏi với những biến động của thị trường? Hãy tìm hiểu cách DeFi có thể giúp bạn xây dựng thu nhập thụ động ổn định. Đăng ký ngay