资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
以太坊Pectra升级面临安全挑战
继"The Merge"成功之后,以太坊近期通过Pectra升级获得重大进展。其中EIP-7702提案旨在优化钱包使用体验,但这项功能正因恶意攻击陷入争议漩涡。
便捷性与安全性的两难抉择
由Vitalik Buterin提出的EIP-7702方案,原本允许以太坊钱包临时具备智能合约功能,从而实现更便捷的交易流程、燃料费代付等优势,还能支持消费限额和密钥授权等高级功能。然而现实情况是,该特性已被不法分子利用实施诈骗。
恶意脚本"CrimeEnjoyor"浮出水面
区块链安全公司Wintermute研究发现,超过80%的钱包授权都关联到名为"CrimeEnjoyor"的恶意脚本。该脚本会劫持用户钱包,将资金瞬间转移至攻击者控制的地址,整个过程伪装成提升用户体验的服务。
"我们的研究团队发现,97%的EIP-7702授权都指向使用相同代码的多个合约。这些都是自动清空受损地址ETH资金的清扫程序。"Wintermute在社交平台上披露。
"CrimeEnjoyor合约简短且被广泛复用。这段复制粘贴的字节码如今主导着大多数EIP-7702授权,这种现象既可笑又可悲,同时发人深省。"
安全机构Scam Sniffer报告显示,某钱包在Inferno Drainer钓鱼诈骗中损失近15万美元。随着以太坊新增功能,此类令人猝不及防的诈骗案件正呈上升趋势。
核心漏洞:私钥安全
专家指出,EIP-7702本身并非问题根源,私钥保护薄弱才是关键风险。研究人员警示,虽然7702使交易更流畅,但也降低了清空钱包攻击的成本和耗时。
慢雾等安全公司呼吁钱包服务商强化安全功能,明确展示联系方式,强调绝不能以牺牲用户安全为代价换取操作便利。
犯罪收益不及预期
尽管发起大规模钱包清空攻击,不法分子实际获利有限。数据显示,攻击者花费约2.88个ETH针对近7.9万个钱包发起攻击,其中单个地址就处理了超过5.2万次授权。
被盗ETH虽然可追踪,但截至目前与这些诈骗关联的主要钱包尚未收到任何资金,表明攻击行动可能尚未取得预期收益。
