O recurso de carteira inteligente recentemente introduzido do Ethereum, EIP-7702, está sob escrutínio após pesquisadores de segurança em blockchain descobrirem o uso indevido por cibercriminosos. Após a atualização Pectra, vários provedores de carteira começaram a integrar recursos do EIP-7702.
Analistas da Wintermute, uma empresa de negociação de criptomoedas, notaram que os atacantes usaram 97% das delegações de carteiras do EIP-7702 para implantar contratos projetados para drenar fundos de usuários desavisados.
Hackers Usam o EIP-7702 do Ethereum para Automatizar Drenagens em Massa de Carteiras
O EIP-7702 permite temporariamente que contas de propriedade externa (EOAs) operem como carteiras de contratos inteligentes. A atualização habilita recursos como agrupamento de transações, limites de gastos, integração de chave de passagem e recuperação de carteira—tudo isso sem mudar os endereços das carteiras.
Embora essas atualizações visem melhorar a usabilidade, atores maliciosos estão aproveitando o padrão para acelerar a extração de fundos.
Em vez de mover ETH manualmente de cada carteira comprometida, os atacantes agora autorizam contratos que encaminham automaticamente qualquer ETH recebido para seus próprios endereços.
“Sem dúvida, os atacantes são um dos primeiros adotantes de novas capacidades. O 7702 nunca foi concebido como uma solução mágica e realmente tem ótimos casos de uso,” disse Rahul Rumalla, Diretor de Produto da Safe.
A análise da Wintermute mostra que a maioria dessas delegações de carteiras aponta para bases de código idênticas projetadas para “varrer” ETH de carteiras comprometidas.
Aprovação de Transações do EIP-7702 do Ethereum. Fonte: Dune
Esses varredores transferem automaticamente quaisquer fundos recebidos para endereços controlados por atacantes. De quase 190.000 contratos delegados examinados, mais de 105.000 estavam ligados a atividades ilícitas.
Koffi, um analista de dados sênior da Base Network, explicou que mais de um milhão de carteiras interagiram com contratos suspeitos no último fim de semana.
Ele esclareceu que os atacantes não usaram o EIP-7702 para hackear as carteiras, mas para agilizar o roubo de carteiras com chaves privadas já expostas.
O analista acrescentou que uma implementação que se destaca inclui uma função de recebimento que aciona transferências de ETH no momento em que os fundos chegam à carteira, eliminando a necessidade de retirada manual.
Yu Xian, fundador da empresa de segurança blockchain SlowMist, confirmou que os perpetradores são grupos de roubo organizados, não operadores típicos de phishing. Ele observou que as capacidades de automação do EIP-7702 o tornam particularmente atraente para explorações em grande escala.
“O novo mecanismo EIP-7702 é usado principalmente por grupos de roubo de moedas (não grupos de phishing) para transferir automaticamente fundos de endereços de carteira com chaves privadas/mnemônicas vazadas,” afirmou ele.
Apesar da escala da operação, não há lucros confirmados até agora.
Endereço de Atores Maliciosos do EIP 7702 do Ethereum. Fonte: Dune
Um pesquisador da Wintermute observou que os atacantes gastaram cerca de 2,88 ETH autorizando mais de 79.000 endereços. Um único endereço executou quase 52.000 autorizações, no entanto, o endereço-alvo não recebeu nenhum fundo.
