以太坊ETH升級反致漏洞，Sweeper攻擊盜走15萬美元！

以太坊 [ETH] 的最新升級 Pectra 承諾讓錢包更智能、更人性化。結果，它卻成了攻擊者的禮物。

在其推出僅幾周後，攻擊者就開始利用名爲 EIP-7702 的新功能發起大量自動“清掃”攻擊。

他們從一個被盜錢包中盜取了近 15 萬美元，這引發了人們對以太坊如何平衡可用性和安全性的迫切疑問。

承諾升級還是網絡釣魚者的遊樂場？

以太坊的 Pectra 升級引入了 EIP-7702，使錢包可以暫時充當智能合約，以獲得更好的用戶體驗。

該功能由Vitalik Buterin提出，支持賬戶抽象，允許用戶批量交易、贊助 gas 費用並實施更嚴格的支出控制。

雖然這項創新提高了錢包的可用性和安全性，但它也成爲了潛在的攻擊目標。

Wintermute 的分析顯示，超過 80% 的 EIP-7702 委託被一個名爲“CrimeEnjoyor”的惡意合約所利用。該合約代碼簡短，可複製粘貼，但效果驚人。

一旦它獲得對受損錢包的訪問權限（通常是通過網絡釣魚），它會立即將資金轉移到攻擊者的地址。

這是大規模的自動化，而且成本高昂。

區塊鏈安全公司 Scam Sniffer重點介紹了這樣一起事件，一名受害者在與臭名昭著的 Inferno Drainer 服務相關的單筆批量交易中損失了近 15 萬美元。

由於已經記錄了數千筆類似的交易，旨在簡化以太坊的功能可能也在加速其漏洞的增加。

也許不是代碼

最近一波錢包竊取攻擊背後的核心問題並非 EIP-7702，而是持續存在的私鑰泄露或被盜問題。

這項新功能只會讓攻擊者更快、更便宜地利用已被攻陷的錢包。像SlowMist這樣的安全公司正在敦促錢包提供商提高合約交互的可見性，並加強用戶保護。

隨着以太坊的發展，優先事項必須轉向更智能的錢包設計、更清晰的簽名提示和更好的用戶教育。

因爲當基本安全性失效時，即使是最有希望的功能也可能會適得其反。