Atualização Pectra do Ethereum explorada por Bots drenando Carteiras: Relatório | BSCN (fka BSC News)

A recente atualização “Pectra” do Ethereum introduziu várias funcionalidades para melhorar a interação dos usuários com a rede. Uma das mudanças mais discutidas foi EIP-7702, uma proposta apoiada pelo cofundador do Ethereum Vitalik Buterin.

Esta funcionalidade permite que as carteiras se comportem temporariamente como contratos inteligentes, possibilitando transações em lote, patrocínios de gas, autenticação social e limites de gasto.

No entanto, de acordo com Wintermute, uma empresa líder em negociação de criptomoedas, esta nova atualização abriu a porta para uma perigosa onda de ataques de varredura automatizados, drenando as carteiras de usuários desavisados. E esses ataques estão se espalhando rapidamente.

Uma Funcionalidade com Boas Intenções

EIP-7702 tinha como objetivo tornar o Ethereum mais amigável para o usuário.

Os usuários podem assinar apenas uma transação para lidar com várias ações de uma só vez—algo que anteriormente só era possível através de contratos inteligentes. Por exemplo, um usuário pode aprovar um token, trocá-lo e enviar o resultado para outra carteira de uma só vez.

Ofereceu também melhorias na qualidade de vida, como patrocinar gás para outra pessoa, ou usar sistemas de login social para autenticar carteiras, facilitando a interação de utilizadores comuns com Ethereum sem ter de lidar com frases-semente.

Mas o que foi projetado para ajudar os usuários rapidamente se transformou em uma arma nas mãos de maus atores.

A Ascensão do CrimeEnjoyor: Um Vetor de Ataque de Copiar-Colar

A Wintermute publicou recentemente uma análise mostrando como o EIP-7702 está a ser utilizado por bots em ataques chamados sweeper attacks.

A ferramenta escolhida? Um contrato amplamente duplicado que a Wintermute apelidou de “CrimeEnjoyor.”

Aqui está como funciona:

Criminosos implementam contratos maliciosos com bytecode simples, copiados e colados em milhares de instâncias. Estes contratos são projetados para varrer automaticamente os fundos de carteiras cujas chaves privadas foram comprometidas. Uma vez que estas carteiras recebem ETH, os contratos instantaneamente enviam os fundos para o endereço do atacante.

A pesquisa da Wintermute, disponibilizada através de um painel Dune, mostra que mais de 97% das delegações EIP-7702 estão ligadas a estes contratos idênticos.

“O contrato CrimeEnjoyor é curto, simples e amplamente reutilizado,” observou a Wintermute no X. “Este código de byte copiado agora representa a maioria de todas as delegações EIP-7702. É engraçado, sombrio e fascinante ao mesmo tempo.”

Não é apenas um problema de contrato inteligente

Embora o EIP-7702 seja o veículo, a causa raiz continua a ser chaves privadas comprometidas.

Wintermute e outros especialistas em segurança enfatizam que o EIP-7702 não é intrinsecamente perigoso. Em vez disso, torna mais fácil e rápido roubar fundos uma vez que uma carteira é comprometida.

Como observou o especialista em segurança Taylor Monahan:

“Na verdade, não é um problema 7702. É o mesmo problema que o cripto tem desde o primeiro dia: os usuários finais têm dificuldade em proteger suas chaves privadas.”

O EIP-7702 supostamente tornou mais eficiente para os atacantes esvaziar carteiras vulneráveis.

Perdas Reais: Um Exemplo de $146,550

No dia 23 de maio, um usuário assinou sem saber várias transações em lote maliciosas usando EIP-7702. O resultado? Uma perda de $146,550, de acordo com a empresa de segurança blockchain Scam Sniffer.

Essas transações maliciosas estavam ligadas ao Inferno Drainer, um conhecido fornecedor de scam-as-a-service que está ativo no espaço cripto há anos.

Uma Verdade Inconveniente para o Futuro do Ethereum

A Wintermute deu um passo adicional ao fazer a engenharia reversa do bytecode malicioso para código Solidity legível por humanos. Isso facilitou a identificação e a marcação de contratos maliciosos. Eles até verificaram o código publicamente para aumentar a conscientização.

O código em si contém um aviso em texto simples:

“Este contrato é usado por maus elementos para varrer automaticamente todo o ETH que chega. NÃO ENVIE NENHUM ETH.”

Mas apesar do aviso, o contrato continua a ser eficaz. Os utilizadores que não compreendem o que estão a assinar correm um sério risco, especialmente ao usar dApps ou ferramentas desconhecidas que os incentivam a delegar o controlo sob o EIP-7702.

Contrato CrimEnjoyer com aviso (Imagem: Wintermute)Outra empresa de segurança, SlowMist, confirmou a ameaça crescente. A empresa exortou prestadores de serviços de carteira a se adaptarem rapidamente e a suportarem avisos de delegação EIP-7702.

“Os fornecedores de serviços de carteira devem rapidamente suportar transações EIP-7702 e, quando os usuários assinarem delegações, devem exibir de forma proeminente o contrato-alvo para reduzir o risco de ataques de phishing,” disse a SlowMist.

Outras Características do Pectra Agora Ofuscadas

A atualização Pectra, que foi lançada em 7 de maio na época 364032, também incluiu duas outras mudanças principais:

• EIP-7251: Aumentou o limite de staking de validadores de 32 ETH para 2.048 ETH, melhorando a eficiência para validadores institucionais.
• Melhorias de desempenho e escalabilidade em segundo plano.

Mas devido aos abusos do EIP-7702, essas outras atualizações foram em grande parte ofuscadas.

Até à data, mais de 12.329 transações EIP-7702 foram executadas, a maioria ligada a delegações abusadas por bots varredores.

Então, qual é a solução?

Embora o EIP-7702 em si seja opcional e não obrigatório para transações básicas, a necessidade de educação, transparência e melhorias de segurança a nível de carteira é mais urgente do que nunca.

Os utilizadores devem:

• Nunca assine transações desconhecidas sem entender o contrato de destino.
• Utilize carteiras que exibam todas as informações do contrato antes da confirmação.
• Trate qualquer pedido de delegação com extremo cuidado, especialmente quando agrupado em múltiplos passos.

Para os desenvolvedores, a Wintermute sugere verificar contratos publicamente e tornar padrões perigosos mais fáceis de detectar. A empresa acredita que marcar atividades maliciosas de forma mais agressiva pode proteger novos usuários e reduzir os riscos de phishing.