La actualización de Pectra de Ethereum introdujo EIP-7702, permitiendo que las billeteras funcionen temporalmente como contratos inteligentes para una mejor experiencia de usuario.
Propuesta por Vitalik Buterin, esta característica admite la abstracción de la cuenta, lo que permite a los usuarios realizar transacciones por lotes, patrocinar tarifas de gas y hacer cumplir los controles de gasto más estrictos.
Si bien esta innovación mejora la usabilidad y la seguridad de la billetera, también se ha convertido en un objetivo potencial de explotación.
Fuente: x
Análisis de Wintermute revela que más del 80% de las delegaciones EIP-7702 están siendo utilizadas por un solo contrato malicioso, denominado “Crimeenjoyor”. El código del contrato es corto, pasajero y alarmantemente efectivo.
Una vez que obtiene acceso a una billetera comprometida, a menudo a través del phishing, instantáneamente drena los fondos a la dirección de un atacante.
Es la automatización a escala, y está demostrando ser costosa.
Fuente: x
Blockchain Secury Stram Scam Sniffer destacado Uno de esos incidentes en el que una víctima perdió casi $ 150,000 en una sola transacción por lotes vinculada al notorio servicio de drenador de infierno.
Con miles de transacciones similares ya registradas, puede ser que las características destinadas a simplificar Ethereum también están acelerando sus vulnerabilidades.
Tal vez no sea el código
El problema central detrás de la reciente ola de ataques de drenaje de billetera no es EIP-7702. Es el problema continuo de las llaves privadas filtradas o robadas.
La nueva característica simplemente hace que sea más rápido y más barato para los atacantes explotar las billeteras ya comprometidas. A las empresas de seguridad como Pañuelo están instando a los proveedores de billetera a mejorar la visibilidad en las interacciones contractuales y fortalecer las protecciones del usuario.
Fuente: x
A medida que Ethereum evoluciona, la prioridad debe cambiar hacia un diseño de billetera más inteligente, indicaciones de firma más claras y una mejor educación de usuarios.
Porque incluso las características más prometedoras pueden ser contraproducentes cuando falla la seguridad básica.