资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Pectra升级后EIP-7702智能账户的安全隐患
自5月7日Pectra升级启动以来,许多用户争相启用EIP-7702智能账户,却未意识到其中潜在的风险。该升级允许外部拥有账户(EOAs)通过签名消息委托控制权,暂时充当智能合约钱包。虽然这一功能提升了用户体验,但EIP-7702也带来了新的安全风险,亟需引起重视。
顶级7702委托者疑似钓鱼诈骗
根据GoPlus Security的调查,bundlebear.com的链上数据显示,已有超过1万个地址使用智能账户。GoPlus发现,一旦用户授权恶意委托者地址,任何转入其账户的ETH都会自动重定向到诈骗者的地址。
通过合约代码反编译,GoPlus发现,一旦用户授权地址为0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b的恶意委托者,所有ETH都会自动重定向到诈骗者钱包0x000085bad,这一机制被确认为一种复杂的盗窃手段。
显然,诈骗者正在利用人们对Pectra升级的信任。尽管威胁非常真实,但像MetaMask这样的领先钱包已经能够安全地集成EIP-7702。
GoPlus Security敦促希望保持安全的用户,仅信任钱包界面的7702功能,并将任何要求智能账户升级的外部链接或电子邮件视为诈骗。虽然EIP-7702将为以太坊的用户体验和交易灵活性带来奇迹,但保持警惕并切勿通过外部链接授权至关重要。GoPlus Security警告,如果有人推动你在钱包外“升级”,那么这100%是诈骗。
其他推荐的安全措施包括:切勿信任用于7702授权的电子邮件/URL链接,始终验证合约源代码,对非开源合约格外谨慎,并确保仔细检查授权地址。
硬件钱包也不再安全
在Pectra更新之前,硬件钱包被认为更安全。但根据Hacken的链上研究员Yehor Rudytsia的说法,情况已不再如此。
Rudytsia表示,从签署恶意消息的角度来看,硬件钱包现在与热钱包面临相同的风险。“如果发生这种情况,所有资金都会在瞬间消失,”他说。
虽然有保持安全的方法,但它们都需要用户的警惕。“用户不应签署他们不理解的消息,”Rudytsia建议。他还敦促钱包开发者在用户被要求签署委托消息时提供明确的警告。
用户需要特别警惕EIP-7702引入的新委托签名格式,因为它们与现有的EIP-191或EIP-712标准不兼容。这些消息通常显示为简单的32字节哈希,可能会绕过正常的钱包警告。
“如果消息包含你的账户随机数,它可能直接影响你的账户,”Usman警告说。“正常的登录消息或链下承诺通常不涉及你的随机数。”
更糟糕的是,EIP-7702允许chain_id = 0的签名,这意味着签名消息可以在任何与以太坊兼容的链上重放。这意味着它可以在任何地方使用。
与硬件钱包相比,多重签名钱包在Pectra升级下仍然更安全,这得益于它们需要多个签名者。单密钥钱包——无论是硬件还是其他类型——都必须采用新的签名解析和红旗工具,以防止潜在的利用。
