Principais Conclusões:
A nova ferramenta “CrimeEnjoyor” da Wintermute injeta avisos on-chain em contratos Ethereum maliciosos.
Mais de 97% das delegações EIP-7702 estão sendo utilizadas em ataques de drenagem de carteira.
Um usuário Ethereum recentemente perdeu $146K ao assinar transações maliciosas EIP-7702.
O criador de mercado de cripto Wintermute desenvolveu uma ferramenta que injeta avisos on-chain em contratos maliciosos de drenagem de carteira para alertar os usuários.
A nova ferramenta surge enquanto os usuários Ethereum enfrentam uma nova ameaça de drenagem de carteira que explora um recurso na atualização mais recente da rede.
Em 30 de maio, a Wintermute revelou que havia desenvolvido “CrimeEnjoyor,” um código que injeta avisos visíveis em contratos Ethereum maliciosos verificados. A medida visa contratos projetados para drenar carteiras automaticamente quando as chaves privadas são comprometidas.
Aviso ‘Não Enviar ETH’
A mensagem injetada afirma claramente que o contrato “é usado por bandidos para drenar automaticamente todo o ETH recebido” e aconselha prominentemente os usuários a “NÃO ENVIAR NENHUM ETH.”
Os contratos maliciosos exploram a Proposta de Melhoria do Ethereum-7702 (EIP-7702), um recurso introduzido na recente atualização Pectra.
O EIP-7702 permite que os proprietários de carteiras deleguem temporariamente o controle de suas carteiras para contratos inteligentes—um recurso opcional destinado a expandir as capacidades do Ethereum.
No entanto, a equipe de pesquisa da Wintermute encontrou padrões preocupantes.
De acordo com sua análise, mais de 97% das delegações EIP-7702 estavam sendo usadas em contratos de varredura idênticos projetados para drenar automaticamente ETH de endereços comprometidos.
“Estes são os limpadores, usados para drenar automaticamente ETH recebido de endereços comprometidos,” disse Wintermute em um post no X.
Embora o EIP-7702 traga nova conveniência, ele também introduz novos riscos
Nossa equipe de pesquisa descobriu que mais de 97% de todas as delegações EIP-7702 foram autorizadas a múltiplos contratos usando o mesmo código exato. Estes são limpadores, usados para drenar automaticamente ETH recebido de comprometidos… pic.twitter.com/xHp7zr4hC9
— Wintermute (@wintermute_t) 30 de maio de 2025
Para injetar avisos, a equipe reengenheirou o bytecode da Máquina Virtual Ethereum (EVM) dos contratos em código Solidity legível e então o verificou publicamente.
Como resultado, o aviso modificado agora aparece dentro da maioria dos contratos maliciosos.
“Esta cópia colada de bytecode agora representa a maioria de todas as delegações EIP-7702,” acrescentou a Wintermute. “É engraçado, sombrio e fascinante ao mesmo tempo.”
Embora o EIP-7702 tenha sido projetado para oferecer maior flexibilidade à carteira, sua falta de recursos de verificação dificultou para os usuários—especialmente os novatos—distinguir entre contratos legítimos e maliciosos.
A Wintermute espera que a marcação de contratos comprometidos ajude a revelar atividades suspeitas e proteger melhor o ecossistema.
Usuário Ethereum Perde $146K
Os riscos são reais. Em 23 de maio, um usuário Ethereum perdeu $146.550 após assinar inconscientemente um lote de transações maliciosas EIP-7702, de acordo com a empresa de segurança blockchain Scam Sniffer.
ALERTA: Um endereço atualizado para EIP-7702 perdeu $146.551 através de transações em lote maliciosas em ataque de phishing. pic.twitter.com/7GbamqOZVI
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 24 de maio de 2025
Desde que a atualização Pectra do Ethereum foi ao ar em 7 de maio, os usuários executaram 12.329 transações EIP-7702.
Pectra também introduziu outras mudanças significativas: EIP-725 aumentou o limite de staking de validadores de 32 ETH para 2.048 ETH, e EIP-7691 aumentou a capacidade de blob de dados para melhorar a escalabilidade e reduzir taxas nas redes layer-2 do Ethereum.
No mês passado, Vitalik Buterin revelou uma nova proposta destinada a tornar significativamente mais fácil para usuários comuns executarem nós Ethereum, reduzindo os requisitos de hardware e armazenamento atualmente necessários para sincronizar com a rede.
O gênio do Ethereum sugeriu uma mudança na forma como os nós armazenam e recuperam dados, passando de replicação de dados completa para um modelo mais flexível e centrado no usuário.
Sob essa abordagem, os nós armazenariam apenas os dados relevantes para o usuário, em vez do estado global completo do Ethereum, que atualmente excede 1,3 terabytes, de acordo com Etherscan.
O post “CrimeEnjoyor” da Wintermute para alertar usuários Ethereum sobre ataques de drenagem de carteira apareceu primeiro no Cryptonews.
