ترقية Ethereum's Pectra هي "متعة القراصنة"، يحذر Wintermute: EIP-7702 يتيح الهجمات الآلية على عدد كبير من عمليات نشر العقود
لقد تم إساءة استخدام Ethereum EIP-7702 بشكل ضار، وكشفت Wintermute أن المتسللين استخدموه لإفراغ محافظ العملاء تلقائيًا، مما يزيد من المخاطر الأمنية.
(الملخص السابق: اقتراح Vitalik الجديد لتوسيع Ethereum: تقليل متطلبات العقدة مع زيادة حد الغاز وإنشاء بعض العقد عديمة الحالة)
(ملحق الخلفية: كشف Vitalik عن النموذج الرياضي للانتقال التراكمي لـ Ethereum: التحرك نحو "اللامركزية الكاملة" في ثلاث مراحل)
EIP-7702 في ترقية Pectra الأخيرة لـ Ethereum، وظائف تجريد الحساب مثل هذه التي كانت تهدف في الأصل إلى لتحسين تجربة المستخدم، لكن شركات الأمن والتجار حذروا من أن المهاجمين الضارين يستغلونهم حاليًا على نطاق واسع. أصدرت شركة تداول العملات المشفرة Wintermute تحذيرًا يفيد بأن هذه الميزة تُستخدم لإفراغ محافظ المستخدم تلقائيًا، مما يشكل تهديدًا خطيرًا لأصول المستخدم.
تم إساءة استخدام تصميم EIP-7702 وقام المتسللون بسرقة الأموال تلقائيًا
تم إطلاق ترقية Ethereum Pectra في 7 مايو 2025، حيث يسمح EIP-7702 للحسابات المملوكة خارجيًا (EOA) بالحصول مؤقتًا على وظائف العقد الذكي. ومع ذلك، وفقًا لـ T، حذر Wintermute في الأول من يونيو من أن أكثر من 80% من التفويضات المفوضة لـ EIP-7702 كانت مقفلة في البرنامج النصي الخبيث "CrimeEnjoyor".
يخدع أحد المهاجمين المستخدمين للتوقيع على تفويض ضار خارج السلسلة، والذي يقوم تلقائيًا بنقل جميع الأموال الموجودة في المحفظة. وتشير حالات تقرير Scam Sniffer إلى أن المستخدمين قد خسروا ما يقرب من 150 ألف دولار بسبب هجمات التصيد الاحتيالي هذه، مع أكثر من 100 ألف عقد ضار وأكثر من مليون محفظة.
يحث الخبراء المستخدمين على توخي الحذر من الدفع العاجل في الصناعة لآليات الحماية
أشارت شركة SlowMist لأمن Blockchain أيضًا إلى أنه إذا تم تضمين "chain_id = 0" في التوقيع، فقد يؤدي ذلك إلى هجمات إعادة التشغيل عبر السلسلة وتوسيع نطاق المخاطر. قال الخبير الأمني تايلور موناهان للصحفيين:
"على الرغم من أن EIP-7702 قد قدم ناقل هجوم جديدًا، إلا أن المشكلة الأساسية لا تزال تكمن في حماية المفاتيح الخاصة للمستخدمين."
أطلقت Wintermute نظام تحذير لمساعدة المستخدمين على تحديد المخاطر، وأوصت بالتعاون مع SlowMist بأن يقوم مقدمو خدمات المحفظة بمطالبة هدف عقد التفويض بشكل بارز. وفقًا لتحليل Mitrade، تعمل المحافظ والتطبيقات اللامركزية (dApps) على دمج آليات التحذير الجديدة بنشاط.
باختصار، على الرغم من أن وظيفة Ethereum EIP-7702 توفر الراحة، إلا أنها تفتح الباب أيضًا أمام الهجمات الآلية. يجب على المستخدمين توخي الحذر وعدم السماح إلا من خلال القنوات الرسمية وتعزيز إدارة المفاتيح الخاصة. تعمل الصناعة جاهدة لتحسين التدابير الأمنية، لكن العمليات الدقيقة التي يقوم بها المستخدمون لا تزال هي خط الدفاع الرئيسي لأمن الأصول. ص>
