イーサリアムの最近導入されたスマートウォレット機能、EIP-7702が、ブロックチェーンセキュリティ研究者によってサイバー犯罪者の悪用が発見された後、注目を集めている。Pectraアップグレードに続き、いくつかのウォレットプロバイダーがEIP-7702機能の統合を開始した。
暗号資産取引会社ウィンターミュートのアナリストは、攻撃者がEIP-7702ウォレットの委任の97%を利用して、ユーザーの資金を奪うための契約を展開したと指摘した。
SponsoredハッカーがイーサリアムのEIP-7702を利用し大量ウォレット流出を自動化
EIP-7702は一時的に外部所有アカウント(EOA)をスマートコントラクトウォレットとして機能させることを可能にする。このアップグレードにより、トランザクションのバッチ処理、支出制限、パスキー統合、ウォレットの復旧などの機能が、ウォレットアドレスを変更することなく利用可能になる。
これらのアップグレードは使いやすさを向上させることを目的としているが、悪意のある者たちはこの標準を利用して資金の引き出しを加速させている。
攻撃者は、各侵害されたウォレットから手動でETHを移動する代わりに、受け取ったETHを自分のアドレスに自動的に転送する契約を承認している。
“攻撃者が新しい機能の早期採用者であることは間違いない。7702は万能薬ではなく、素晴らしいユースケースがある。”と、Safeのチーフプロダクトオフィサー、ラフル・ルマラ氏が述べた。
ウィンターミュートの分析によれば、これらのウォレット委任のほとんどは、侵害されたウォレットからETHを「スイープ」するために設計された同一のコードベースを指している。
これらのスイーパーは、攻撃者が管理するアドレスに自動的に受信資金を転送する。調査された約19万の委任契約のうち、10万5000以上が不正行為に関連していた。
SponsoredBase Networkのシニアデータアナリスト、コフィ氏は、先週末に100万以上のウォレットが疑わしい契約とやり取りしたと説明した。
同氏は、攻撃者がEIP-7702を使ってウォレットをハッキングしたのではなく、すでに露出した秘密鍵を持つウォレットからの窃盗を効率化したと明らかにした。
アナリストはさらに、注目すべき実装の一つとして、資金がウォレットに入った瞬間にETHの転送をトリガーする受信機能が含まれており、手動での引き出しが不要になると述べた。
ブロックチェーンセキュリティ企業SlowMistの創設者、ユー・シアン氏は、加害者が典型的なフィッシングオペレーターではなく、組織的な窃盗グループであることを確認した。同氏は、EIP-7702の自動化機能が大規模な悪用に特に魅力的であると指摘した。
“新しいメカニズムEIP-7702は、コイン窃盗グループ(フィッシンググループではない)によって、漏洩した秘密鍵/ニーモニックを持つウォレットアドレスから自動的に資金を転送するために最も使用されている。”と同氏は述べた。
この作戦の規模にもかかわらず、これまでのところ確認された利益はない。
ウィンターミュートの研究者は、攻撃者が約2.88ETHを使って7万9000以上のアドレスを承認したと指摘した。1つのアドレスだけで約5万2000の承認を実行したが、ターゲットアドレスには資金が受け取られていない。
