После активации обновления Pectra в сети Ethereum 7 мая многие пользователи поспешили включить смарт-аккаунты по стандарту EIP-7702, не подозревая о потенциальных угрозах. Об этом сообщает Cryptopolitan.
► Читайте «Минфин» в Instagram: главные новости об инвестициях и финансах
Это обновление позволяет внешним аккаунтам (EOA) временно функционировать как кошельки смарт-контрактов, делегируя контроль с помощью подписанного сообщения.
Хотя эта функция улучшает взаимодействие с пользователем, EIP-7702 одновременно создает новые угрозы безопасности, на которые следует обратить внимание.
По данным GoPlus Security, ончейн-данные из bundlebear.com обнаружили более 10 тысяч адресов, которые используют смарт-аккаунты.
Благодаря декомпиляции кода контракта GoPlus обнаружили, что только пользователи предоставляют разрешение вредоносному «делегатору» по адресу 0×930fcc37d6042c79211ee18a02857cb1fd7f0d0b, любой ETH, перечисленный на их счет.
Анализ кода обнаружил, что после авторизации весь ETH автоматически перенаправляется на кошелек мошенника 0×000085bad.
Очевидно, что мошенник эксплуатирует доверие людей к обновлению Pectra. Хотя угроза очень реальна, некоторым ведущим кошелькам, таким как MetaMask, удалось безопасно интегрировать EIP-7702.
GoPlus Security призвала пользователей, желающих обезопасить себя, доверять только интерфейсам кошельков для функций 7702 и рассматривать любые внешние ссылки или электронные письма с просьбой обновить смарт-аккаунты как мошенничество.
EIP-7702 значительно улучшит удобство использования Ethereum и гибкость транзакций, но очень важно оставаться бдительными и никогда не авторизироваться по внешним ссылкам. Эксперты предупреждают, если кто-то настаивает на «обновлении» вне вашего кошелька, то это 100% мошенничество.
Среди других рекомендованных мер безопасности: никогда не доверять ссылкам с электронной почты или URL-адресов для авторизации 7702, всегда проверять исходный код контракта, быть чрезвычайно осторожным с контрактами, не имеющими открытого исходного кода, и тщательно проверять адреса авторизации.
- Криптовалюта
