Звіт: Боти використовують оновлення Pectra для Ethereum, виснажуючи гаманці

Ethereumнещодавно Оновлення «Пектри» запровадив кілька функцій для покращення взаємодії користувачів із мережею. Однією з найбільш обговорюваних змін була ЕІП-7702, пропозиція, підтримана співзасновником Ethereum Віталік Бутерін. 

Ця функція дозволяє гаманцям тимчасово поводитися як смарт-контракти, забезпечуючи пакетні транзакції, спонсорство газу, соціальну автентифікацію та обмеження витрат.

Проте, відповідно до Вінтермут, провідної криптотрейдерської фірми, це нове оновлення відкрило двері небезпечній хвилі автоматизовані атаки підмітачів, виснажуючи гаманці нічого не підозрюючих користувачів. І ці атаки швидко поширюються.

Фільм з добрими намірами

EIP-7702 мав на меті зробити Ethereum зручнішим для користувачів.

Користувачі могли підписувати лише одну транзакцію для обробки кількох дій одночасно — що раніше було можливо лише за допомогою смарт-контрактів. Наприклад, користувач міг схвалити токен, обміняти його та надіслати результат до іншого гаманця за один раз.

Він також пропонував покращення якості життя, такі як спонсорування пального для когось іншого, або за допомогою системи соціального входу для автентифікації гаманців, що полегшує взаємодію звичайних користувачів з Ethereum без боротьби з основними фразами.

Але те, що було розроблено для допомоги користувачам, швидко перетворилося на зброю зловмисниками.

Зростання CrimeEnjoyor: вектор атаки копіювання та вставки

Wintermute нещодавно опублікував аналіз, який показує, як EIP-7702 використовується ботами в так званих атаки підмітачів.

Обраний інструмент? Широко розмножений контракт на прізвисько Вінтернімл «ЗлочиннийЕнджойор».

Ось як це працює:

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Злочинці розгортають шкідливі контракти з простим байт-кодом, який копіюють та вставляють у тисячі екземплярів. Ці контракти розроблені для того, щоб автоматично зчитувати кошти з гаманців, приватні ключі яких були скомпрометовані. Щойно ці гаманці отримують ETH, контракти миттєво пересилають кошти на адресу зловмисника.

Дослідження Wintermute, опубліковане через Приладова панель Dune, показує, що понад 97% делегацій EIP-7702 були пов'язані з цими ідентичними контрактами.

«Контракт CrimeEnjoyor короткий, простий і широко використовується повторно», – зазначив Wintermute на X. «Цей скопійований байт-код тепер відповідає за більшість усіх делегувань EIP-7702. Це одночасно смішно, похмуро та захопливо».

Це не просто проблема смарт-контракту

Хоча EIP-7702 є транспортним засобом, Корінною причиною залишаються компрометовані закриті ключі.

Wintermute та інші експерти з безпеки наголошують, що EIP-7702 не є небезпечним за своєю суттю. Швидше, він спрощує та пришвидшує крадіжку коштів після компрометації гаманця.

Як експерт з безпеки Тейлор Монахан зазначив:

«Насправді це не проблема 7702. Це та сама проблема, яка існує з першого дня: кінцеві користувачі мають труднощі із захистом своїх закритих ключів».

Повідомляється, що EIP-7702 зробив його більш ефективний для зловмисників, щоб очистити вразливі гаманці.

Реальні збитки: приклад на суму $146 550

23 травня користувач несвідомо підписав кілька шкідливих пакетних транзакцій, використовуючи EIP-7702. Результат? Втрата $146,550за даними компанії з безпеки блокчейнів Scam Sniffer.

Ці шкідливі транзакції були пов'язані з Inferno Drainer, відомий постачальник послуг шахрайства, який роками активно працює у криптовалютному просторі.

Незручна правда для майбутнього Ethereum

Wintermute пішли далі, виконавши зворотний інжиніринг шкідливого байт-коду в зрозумілий для людини код SolidityЦе спростило виявлення та позначку шкідливих контрактів. Вони навіть публічно перевірили код, щоб підвищити обізнаність.

Сам код містить попередження у відкритому тексті:

«Цей контракт використовується лиходіями для автоматичного вилучення всіх вхідних ETH. НЕ НАДСИЛАЙТЕ ЖОДНОГО ETH».

Але, незважаючи на попередження, контракт залишається чинним. Користувачі, які не розуміють, що підписують, наражаються на серйозний ризик, особливо під час використання незнайомих децентралізованих додатків (dApps) або інструментів, які спонукають їх делегувати контроль згідно з EIP-7702.

Ще одна охоронна фірма, Повільний туман, підтверджений зростаючу загрозу. Фірма наполягала постачальники послуг гаманця швидко адаптуватися та підтримувати Попередження про делегування EIP-7702.

«Постачальники послуг гаманців повинні швидко підтримувати транзакції EIP-7702, а коли користувачі підписують делегування, повинні чітко відображати цільовий контракт, щоб зменшити ризик фішингових атак», – заявили у SlowMist.

Інші функції Pectra тепер затьмарені

Оновлення Pectra, яке було запущено 7 травня о епоха 364032, також включала дві інші важливі зміни:

• ЕІП-7251Підвищено ліміт ставок валідатора з 32 ETH до 2,048 ETH, підвищення ефективності роботи інституційних валідаторів.
• Покращення продуктивності та масштабованості «під капотом».

Але через зловживання EIP-7702 ці інші оновлення були значною мірою затьмарені.

На сьогоднішній день більше ніж 12 329 транзакцій EIP-7702 були страчені, більшість з яких пов'язані з делегаціями, якими зловживали боти-підмітальні системи.

Отже, що виправити?

Хоча сам EIP-7702 є вибрати в, і не є обов'язковим для основних транзакцій, необхідність освіта, прозорість та покращення безпеки на рівні гаманців є більш актуальним, ніж будь-коли.

Користувачі повинні:

• Ніколи не підписуйте незнайомі транзакції, не розуміючи умови договору призначення.
• Використовуйте гаманці, які відображають повну інформацію про контракт перед підтвердженням.
• Ставтеся до будь-яких запитів на делегування з надзвичайною обережністю, особливо якщо вони об'єднані з кількома кроками.

Для розробників Wintermute пропонує публічна перевірка контрактів та спрощення виявлення небезпечних шаблонів. Фірма вважає, що більш агресивне тегування шкідливої ​​активності може захистити нових користувачів та зменшити ризики фішингу.