Niedawno wprowadzona funkcja inteligentnego portfela Ethereum EIP-7702 jest pod lupą. Powodem jest fakt, że badacze bezpieczeństwa blockchain odkryli jej niewłaściwe wykorzystanie przez cyberprzestępców. Po aktualizacji Pectra kilku dostawców portfeli zaczęło integrować funkcje EIP-7702.
Analitycy z firmy handlującej kryptowalutami Wintermute zauważyli, że atakujący wykorzystali 97% delegacji portfeli EIP-7702 do wdrażania kontraktów zaprojektowanych do opróżniania środków od niczego niepodejrzewających użytkowników.
Jak aktualizacja Pectra ułatwia hakerom automatyzację masowego opróżniania portfeli?
EIP-7702 tymczasowo pozwala zewnętrznie posiadanym kontom (EOA) działać jako portfele inteligentnych kontraktów. Aktualizacja Pectra umożliwia takie funkcje jak grupowanie transakcji, limity wydatków, integrację kluczy dostępu i odzyskiwanie portfela. Wszystko bez zmiany adresów portfela.
Chociaż te ulepszenia mają na celu poprawę użyteczności, złośliwi aktorzy wykorzystują standard do przyspieszenia wyciągania funduszy.
Zamiast ręcznie przenosić ETH z każdego skompromitowanego portfela, atakujący teraz autoryzują kontrakty, które automatycznie przekazują otrzymane ETH na ich własne adresy. Rahul Rumalla, dyrektor ds. produktu w firmie Safe powiedział:
„Nie ma wątpliwości, że atakujący są jednymi z pierwszych użytkowników nowych możliwości. 7702 nigdy nie miało być cudownym rozwiązaniem i ma świetne zastosowania.”
Co więcej, analiza Wintermute pokazuje, że większość tych delegacji portfeli wskazuje na identyczne bazy kodu. Są one zaprojektowane do „zamiatania” ETH z skompromitowanych portfeli.
Te „zamiatacze” automatycznie przekazują wszelkie przychodzące środki na adresy kontrolowane przez atakujących. Spośród prawie 190 000 zbadanych delegowanych kontraktów, ponad 105 000 było powiązanych z nielegalną działalnością.
Tymczasem Koffi, starszy analityk danych w Base Network, wyjaśnił, że ponad milion portfeli wchodziło w interakcję z podejrzanymi kontraktami w zeszły weekend.
Dodatkowo potwierdził on, że atakujący nie użyli EIP-7702 do włamania się do portfeli. Ich celem było usprawnienie kradzieży z portfeli z już ujawnionymi kluczami prywatnymi.
Analityk dodał również, że jedna z wyróżniających się implementacji zawiera funkcję odbioru. Uruchamia ona transfery ETH w momencie, gdy środki trafiają do portfela, eliminując potrzebę ręcznego wypłacania.
Równocześnie Yu Xian, założyciel firmy zajmującej się bezpieczeństwem blockchain SlowMist, potwierdził, że sprawcy to zorganizowane grupy kradzieży, a nie typowi operatorzy phishingowi. Zauważył, że możliwości automatyzacji EIP-7702 czynią go szczególnie atrakcyjnym dla eksploatacji na dużą skalę.Yu Xian wyraził:
„Nowy mechanizm EIP-7702 jest najczęściej używany przez grupy kradnące monety (nie grupy phishingowe) do automatycznego transferu środków z adresów portfeli z wyciekłymi kluczami prywatnymi/mnemonikami.”
Jednak, pomimo skali operacji, nie ma jak dotąd potwierdzonych zysków.
Badacz z Wintermute zauważył, że atakujący wydali około 2,88 ETH na autoryzację ponad 79 000 adresów. Jeden adres samodzielnie wykonał prawie 52 000 autoryzacji, jednak adres docelowy nie otrzymał żadnych środków.
Choć aktualizacja Pectra wprowadza innowacyjne rozwiązania dla użytkowników Ethereum, jej potencjalne wykorzystanie przez cyberprzestępców budzi poważne obawy. W obliczu rosnących zagrożeń kluczowe będzie monitorowanie skutków, jakie aktualizacja Pectra wywiera na bezpieczeństwo całego ekosystemu blockchain.
Aby zapoznać się z najnowszą analizą rynku kryptowalut od BeInCrypto, kliknij tutaj.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
