Uma carteira Ethereum atualizada para as contas inteligentes EIP-7702 perdeu $146.551 em várias memecoins para golpistas de phishing. A empresa de segurança blockchain Scam Sniffer relatou o incidente, observando que os fundos foram roubados através de transações maliciosas em lote.
De acordo com a empresa, a vítima 0xc6d289d assinou as transações maliciosas em lote, permitindo que os atacantes desviassem os fundos. Os golpistas usaram 0xC83De81A e 0x33dAD2b para executar o ataque.
Após o incidente, o especialista em cibersegurança Yu Xian observou que a exploração de phishing foi muito criativa e identificou o popular grupo de phishing Inferno Drainer por trás do incidente. O grupo havia afirmado publicamente que havia sido desativado, mas um relatório recente da Check Point Research mostra que seu malware continua em uso e foi usado para roubar mais de $9 milhões em ativos cripto nos últimos seis meses.
Xian, o fundador da empresa de segurança blockchain Slow Mist, observou que os golpistas não trocaram o endereço da conta externamente possuída (EOA) por um endereço de phishing. Em vez disso, eles usaram um mecanismo no delegado EIP-7702 do Metamask para completar a autorização em lote de phishing e roubar tokens.
Ele disse:
“O que quero dizer com um pouco criativo é que, desta vez, o endereço EOA do usuário não foi trocado pelo endereço do contrato 7702 por meio de phishing. Em outras palavras, o endereço delegado não é um endereço de phishing, mas o MetaMask que existia há alguns dias: Delegador EIP-7702 Ox63c0c19a2.”
Isso torna o incidente ainda mais complexo do que as tentativas anteriores de explorar o recurso EIP-7702. Através do mecanismo, os atacantes poderiam selecionar tokens para roubar do endereço da vítima. Xian acrescentou que isso mostra como as gangues de phishing continuam a encontrar novas e criativas maneiras de roubar os fundos dos usuários. Assim, os usuários de cripto devem ter cuidado para não perder seus ativos.
Quanto a como os atacantes conseguiram comprometer a carteira do usuário, ele explicou que a vítima provavelmente visitou um site de phishing e acidentalmente aprovou a operação sem prestar atenção a isso.
Golpistas de phishing explorando o EIP-7702
O incidente levanta mais perguntas sobre a segurança do recurso de abstração de conta EIP-7702, que foi introduzido com a atualização Pectra há algumas semanas. Desde sua introdução, muitas pessoas o adotaram, com dados da Dune Analytics da Wintermute Research mostrando mais de 48.000 delegações.
O recurso permite que os usuários do Ethereum ativem temporariamente as capacidades de carteira de contrato inteligente para suas contas externamente possuídas (EOA) delegando o controle a um endereço cujo código desejam executar.
Geralmente, as EOAs são contas básicas do Ethereum sem funcionalidades como patrocínio de gás, autenticação alternativa e agrupamento de transações. Com esses recursos, os usuários obtêm uma experiência aprimorada a partir da mesma conta básica.
No entanto, o que era destinado a melhorar a experiência do usuário agora expõe os usuários a novos riscos. Um número considerável dos delegadores autorizados 7702 são contratos maliciosos que roubam os fundos dos usuários, com dados da Dune Analytics marcando 36,3% dos 175 contratos delegados como crimes.
De acordo com a GoPlus Security, os fundos enviados para qualquer EOA afetada são automaticamente redirecionados para o endereço do golpista. Isso permite que os atacantes de phishing rouben fundos destinados a endereços infectados.
Usuários foram aconselhados a se protegerem contra golpes de phishing
Enquanto isso, o surgimento de novos vetores de ameaça levou especialistas a convocar os usuários de cripto a serem mais vigilantes. Xian observou que os usuários precisam verificar qualquer autorização anormal de tokens e garantir que não tenham sido delegados a um endereço de phishing.
Ele aconselhou que eles podem verificar isso visualizando seus registros de autorização através de seu explorador de blocos e cancelar tal autorização mudando para uma carteira que suporte EIP-7702.
Aviso do Metamask aos usuários (Fonte: GoPlus Security)
A principal carteira Ethereum, MetaMask, também alertou os usuários contra clicar em qualquer link externo ou e-mail que exija que eles atualizem suas carteiras para contas de contrato inteligente. Um pop-up na carteira afirmou que qualquer solicitação para mudar para uma conta inteligente estaria dentro da carteira.
A empresa de segurança Web3 GoPlus também destacou medidas de segurança cruciais, incluindo verificar endereços de autorização, verificar o código fonte do contrato e ter cautela com contratos não abertos.
Academia Cryptopolitan: Em Breve - Uma Nova Maneira de Ganhar Renda Passiva com DeFi em 2025. Saiba Mais
