" Пользователи Ethereum будут предупреждены о новой атаке, способной опустошить их кошельки, поскольку криптомаркетмейкер Wintermute заявил, что создал код, который внедряет предупреждение в выявленные вредоносные контракты.
Код Wintermute, получивший название «CrimeEnjoyor», выводит предупреждение во вредоносных контрактах Ethereum, которые «предназначены для автоматического изъятия средств» из кошельков с украденными закрытыми ключами, говорится в сообщении X от 30 мая.
В предупреждении говорится, что вредоносный контракт «используется злоумышленниками для автоматического изъятия всех входящих ETH», и настоятельно рекомендуется «НЕ ОТПРАВЛЯТЬ ETH».
Контракт Wintermute CrimeEnjoyor с предупреждением. Источник: Wintermute.
Вредоносные контракты используют функцию, представленную в обновлении Ethereum Pectra, называемом Ethereum Improvement Proposal-7702 (EIP-7702), которая позволяет пользователям временно делегировать контроль над своими кошельками смарт-контрактам, заявила компания.
Компания Wintermute сообщила, что ее исследовательская группа обнаружила, что «более 97% всех делегирований EIP-7702 были авторизованы для нескольких контрактов с использованием одного и того же кода».
«Это чистильщики, которые автоматически снимают входящие ETH со скомпрометированных адресов», — поясняется в сообщении.
Для того, чтобы код CrimeEnjoyor появился во вредоносных контрактах, Wintermute преобразовала байт-код виртуальной машины Ethereum в понятный человеку код Solidity и публично его проверила:
«Этот скопированный-вставленный байт-код теперь отвечает за большинство всех делегирований EIP-7702. Это смешно, мрачно и увлекательно одновременно».
Распределение делегированных контрактов EIP-7702 на Ethereum. Доля CrimeEnjoyor упала до 94,7% на момент написания статьи. Источник: Wintermute/Dune Analytics.
EIP-7702 не является обязательным, но необходимы инструменты прозрачности
EIP-7702 — это дополнительная функция, которая не требуется для выполнения основных операций Ethereum, таких как собственные переводы токенов.
Wintermute заявила, что, хотя EIP-7702 расширяет возможности Ethereum, отсутствие проверки затрудняет различение легитимной инфраструктуры от вредоносной эксплуатации, особенно для новых пользователей:
«Чем больше скомпрометированных контрактов отмечено, тем больше активности можно обнаружить и тем больше пользователей можно защитить».
Как отметила компания Scam Sniffer, занимающаяся безопасностью блокчейнов, один пользователь Ethereum, взломавший EIP-7702, потерял 146 550 долларов, подписав несколько вредоносных пакетных транзакций 23 мая.
Всего с момента запуска обновления Pectra на Ethereum в начале эпохи 364032 7 мая было совершено 12 329 транзакций EIP-7702.
Pectra также представила два других важных обновления.
Первое, EIP-725, увеличило лимит ставок валидатора с 32 Ether до 2048 ETH, чтобы упростить операции для крупных стейкеров.
Второе, EIP-7691, увеличило количество данных на блок с целью улучшения масштабируемости на уровнях 2 Ethereum и снижения комиссий за транзакции.
