Ethereum’s recent introductie van de smart wallet functie, EIP-7702, staat onder druk nadat blockchain beveiligingsonderzoekers ontdekten dat cybercriminelen het misbruiken. Na de Pectra upgrade zijn verschillende wallet providers begonnen met het integreren van EIP-7702 functies.
Analisten bij Wintermute, een crypto trading bedrijf, merkten op dat aanvallers 97% van de EIP-7702 wallet delegaties gebruikten om contracten te implementeren die zijn ontworpen om fondsen van nietsvermoedende gebruikers te stelen.
Hackers gebruiken Ethereum’s EIP-7702 om massale wallet-leegtrekkingen te automatiseren
EIP-7702staat tijdelijk toe dat extern beheerde accounts (EOA’s) functioneren als smart contract wallets. De upgrade maakt functies mogelijk zoals het bundelen van transacties, uitgavenlimieten, integratie van toegangssleutels en wallet herstel – allemaal zonder de wallet adressen te veranderen.
Hoewel deze upgrades bedoeld zijn om de bruikbaarheid te verbeteren, maken kwaadwillenden gebruik van de standaard om het stelen van fondsen te versnellen.
In plaats van ETH handmatig van elke gecompromitteerde wallet te verplaatsen, autoriseren aanvallers nu contracten die automatisch ontvangen ETH naar hun eigen adressen doorsturen.
“Zonder twijfel zijn aanvallers een van de vroege gebruikers van nieuwe mogelijkheden. 7702 was nooit bedoeld als een wondermiddel en het heeft wel degelijk goede toepassingen,” zei Rahul Rumalla, Chief Product Officer bij Safe, zei.
Wintermute’s analyse toont aan dat de meeste van deze wallet delegaties wijzen naar identieke codebases die zijn ontworpen om ETH uit gecompromitteerde wallets te “vegen”.
Deze veegcontracten verplaatsen automatisch alle binnenkomende fondsen naar door aanvallers beheerde adressen. Van de bijna 190.000 onderzochte gedelegeerde contracten waren er meer dan 105.000 gelinkt aan illegale activiteiten.
Koffi, een senior data-analist bij Base Network, legde uit dat meer dan een miljoen wallets afgelopen weekend met verdachte contracten in interactie waren.
Hij verduidelijkte dat aanvallers EIP-7702 niet gebruikten om de wallets te hacken, maar om diefstal te stroomlijnen vanuit wallets met al blootgestelde privésleutels.
De analist voegde toe dat een opvallende implementatie een ontvangfunctie omvat die ETH-overdrachten activeert zodra fondsen in de wallet binnenkomen, waardoor handmatige opname niet nodig is.
Yu Xian, oprichter van blockchain beveiligingsbedrijf SlowMist, bevestigde dat de daders georganiseerde diefstalgroepen zijn, niet typische phishing operators. Hij merkte op dat de automatiseringsmogelijkheden van EIP-7702 het bijzonder aantrekkelijk maken voor grootschalige exploits.
“Het nieuwe mechanisme EIP-7702 wordt het meest gebruikt door coin-stelende groepen (niet phishing-groepen) om automatisch fondsen over te dragen van wallet-adressen met gelekte privésleutels/mnemonics,” verklaarde hij.
Ondanks de schaal van de operatie zijn er tot nu toe geen bevestigde winsten.
Een onderzoeker bij Wintermute merkte op dat aanvallers ongeveer 2,88 ETH hebben uitgegeven om meer dan 79.000 adressen te autoriseren. Eén adres alleen voerde bijna 52.000 autorisaties uit, maar het doeladres heeft nog geen fondsen ontvangen.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
