资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
以太坊钱包升级EIP-7702后遭钓鱼攻击 损失14.6万美元迷因币
一个升级了EIP-7702智能账户功能的以太坊钱包近日遭遇钓鱼攻击,损失价值146,551美元的各种迷因币。区块链安全公司Scam Sniffer披露,攻击者通过恶意批量交易实施盗窃。
精巧的授权钓鱼手法
安全分析显示,受害者地址0xc6d289d签署了恶意批量交易授权,使得攻击者地址0xC83De81A和0x33dAD2b得以转移资金。区块链安全公司慢雾创始人余弦指出,此次攻击手法颇具创意——攻击者并未像传统钓鱼那样将用户的外部拥有账户(EOA)地址切换为钓鱼地址,而是利用MetaMask的EIP-7702委托机制(委托地址0x63c0c19a2)完成批量授权盗币。
余弦解释道:"攻击者可以筛选受害者地址中的特定代币进行窃取。这表明钓鱼团伙正在不断寻找新的资金窃取方式。"据推测,受害者可能访问了钓鱼网站,在未仔细审查的情况下误批了恶意操作。
EIP-7702的安全隐忧
这起事件引发了对EIP-7702账户抽象功能安全性的质疑。该功能作为Pectra升级的一部分于几周前推出,Wintermute研究数据显示已有超过48,000次委托。该功能允许以太坊用户通过委托控制权,临时为EOA账户启用智能合约钱包功能。
然而本意为提升用户体验的功能却带来了新风险。Dune Analytics数据显示,在175个委托合约中,36.3%被标记为恶意合约。安全公司GoPlus指出,发送至受影响EOA的资金会被自动重定向至诈骗者地址。
专家给出防护建议
面对新型攻击向量,安全专家呼吁加密货币用户提高警惕:
1. 定期检查代币异常授权情况
2. 通过区块链浏览器查看授权记录
3. 使用支持EIP-7702的钱包撤销可疑授权
主流以太坊钱包MetaMask已发布警示,提醒用户不要点击任何要求升级至智能账户的外部链接或邮件。Web3安全公司GoPlus同时建议:验证授权地址、审查合约源代码、谨慎处理非开源合约。
