Оновлення Pectra Ethereum експлуатують Боти, що викачують Гаманці: Звіт | BSCN (fka BSC News)

Нещодавнє оновлення «Pectra» Ethereum впровадило кілька функцій для покращення взаємодії користувачів з мережею. Однією з найбільш обговорюваних змін було EIP-7702, пропозиція, підтримана співзасновником Ethereum Віталіком Бутеріним.

Ця функція дозволяє гаманцям тимчасово поводитися як розумні контракти, що дає можливість виконувати пакетні транзакції, спонсорувати газ, соціальну аутентифікацію та обмеження витрат.

Однак, за даними Wintermute, провідної криптотрейдингової фірми, це нове оновлення відкрило двері для небезпечної хвилі автоматичних атак підмітальних машин, які виснажують гаманці нічого не підозрюючих користувачів. І ці атаки швидко поширюються.

Функція з добрими намірами

EIP-7702 був призначений для того, щоб зробити Ethereum більш зручним для користувачів.

Користувачі могли підписати лише одну транзакцію, щоб виконати кілька дій одночасно — те, що раніше було можливим лише через смарт-контракти. Наприклад, користувач міг схвалити токен, обміняти його і надіслати результат на інший гаманець за один раз.

Вона також запропонувала покращення якості життя, такі як спонсорство газу для когось іншого, або використання соціальних систем входу для автентифікації гаманців, що полегшує взаємодію звичайних користувачів з Ethereum без боротьби з сідами.

Але те, що було розроблено, щоб допомогти користувачам, швидко перетворилося на зброю у руках поганих акторів.

Зростання CrimeEnjoyor: Вектор атаки копіювання та вставки

Wintermute нещодавно опублікував аналіз, що показує, як EIP-7702 використовується ботами в тому, що називається атаками чистильників.

Інструмент вибору? Широко скопійований контракт, який Wintermute назвав “CrimeEnjoyor.”

Ось як це працює:

Злочинці розгортають шкідливі контракти з простим байт-кодом, скопійованим тисячі разів. Ці контракти призначені для автоматичного перерахування коштів з гаманців, приватні ключі яких були скомпрометовані. Як тільки ці гаманці отримують ETH, контракти миттєво пересилають кошти на адресу атакуючого.

Дослідження Wintermute, доступне через панель Dune, показує, що понад 97% делегувань EIP-7702 були пов’язані з цими ідентичними контрактами.

“Контракт CrimeEnjoyor короткий, простий і широко використовуваний,” зазначив Wintermute в X. “Цей один скопійований байт-код тепер становить більшість усіх делегацій EIP-7702. Це смішно, похмуро і захопливо водночас.”

Це не лише проблема смарт-контрактів

Хоча EIP-7702 є засобом, корінна причина залишається скомпрометованими приватними ключами.

Wintermute та інші експерти з безпеки підкреслюють, що EIP-7702 не є вкрай небезпечним. Швидше, він спрощує і пришвидшує викрадення коштів, як тільки гаманець буде скомпрометовано.

Як зазначив експерт з безпеки Тейлор Монахан:

“Це насправді не проблема 7702. Це та ж проблема, з якою криптовалюта зіткнулася з першого дня: кінцеві користувачі борються за захист своїх приватних ключів.”

EIP-7702, як повідомляється, зробив більш ефективним для зловмисників очищення вразливих гаманців.

Справжні втрати: приклад на $146,550

23 травня користувач ненавмисно підписав кілька шкідливих пакетних транзакцій, використовуючи EIP-7702. Результат? Втрата $146,550, за даними блокчейн-безпекової компанії Scam Sniffer.

Ці зловмисні транзакції були пов’язані з Inferno Drainer, відомим постачальником шахрайства як послуги, який активно працює в криптопросторі протягом кількох років.

Незручна правда для майбутнього Ethereum

Wintermute зробив крок далі, реверсуючи шкідливий байт-код у людсько-читаємий код Solidity. Це спростило ідентифікацію та маркування шкідливих контрактів. Вони навіть перевірили код публічно, щоб підвищити обізнаність.

Код сам по собі містить попередження у відкритому тексті:

“Цей контракт використовується поганими людьми для автоматичного збору всього вхідного Етер. НЕ ВІДПРАВЛЯЙТЕ НІЯКИЙ Етер.”

Але незважаючи на попередження, контракт залишається дійсним. Користувачі, які не розуміють, що підписують, піддаються серйозному ризику, особливо при використанні незнайомих dApps або інструментів, які спонукають їх делегувати контроль відповідно до EIP-7702.

Контракт CrimEnjoyer з попередженням (Зображення: Wintermute)Інша компанія з безпеки, SlowMist, підтвердила зростаючу загрозу. Компанія закликала постачальників послуг гаманців швидко адаптуватися та підтримувати EIP-7702 попередження про делегування.

“Постачальники послуг гаманців повинні швидко підтримувати транзакції EIP-7702 та, коли користувачі підписують делегації, повинні явно відображати цільовий контракт, щоб зменшити ризик фішингових атак,” - сказав SlowMist.

Інші функції Pectra тепер затінені

Оновлення Pectra, яке було запущено 7 травня на епоха 364032, також включало дві інші важливі зміни:

• EIP-7251: Підвищено ліміт стейкінгу для валідаторів з 32 Етер до 2,048 Етер, що покращує ефективність для інституційних валідаторів.
• Покращення продуктивності та масштабованості під капотом.

Але через зловживання EIP-7702 ці інші оновлення були в значній мірі затінені.

На сьогоднішній день було виконано більше 12,329 EIP-7702 транзакцій, більшість з яких пов’язана з делегаціями, які зловживають ботами-свіперами.

Отже, яке виправлення?

Хоча EIP-7702 сам по собі є опційним і не є обов’язковим для базових транзакцій, потреба у освіті, прозорості та покращеннях безпеки на рівні гаманців є більш нагальною, ніж будь-коли.

Користувачі повинні:

• Ніколи не підписуйте незнайомі транзакції, не зрозумівши контракт призначення.
• Використовуйте гаманці, які відображають повну інформацію про контракт перед підтвердженням.
• Ставтеся до будь-яких запитів на делегацію з надзвичайною обережністю, особливо коли вони об’єднані з кількома кроками.

Для розробників Wintermute пропонує публічно перевіряти контракти та спростити виявлення небезпечних шаблонів. Компанія вважає, що більш агресивне маркування шкідливої активності може захистити нових користувачів і зменшити ризики фішингу.