新聞 
幣種資訊 
關於我們 
根據 The Block 的報導,近期以太坊(Ethereum)在最新升級「Pectra」中引入的提案 EIP-7702,意外成為駭客攻擊的突破口,導致一起價值約 15 萬美元(約新台幣 2,050 萬元)的 魚叉式攻擊事件。雖然該提案初衷是為了提升錢包功能與使用體驗,但卻被惡意攻擊者鎖定作為操控工具。
由以太坊共同創辦人 Vitalik Buterin(維塔利克·布特林)提出的 EIP-7702,讓以太坊錢包能暫時模擬成智慧合約執行特殊功能,例如簡化交易程序、允許第三方為使用者支付 Gas 費,或設定交易支出上限等。不過,這項設計也暴露出新的安全風險。
根據區塊鏈安全公司 Wintermute 說法,EIP-7702 所啟用的「授權委任功能」中,高達 97% 的授權指向使用相同程式碼的多份智慧合約,而這些智慧合約實際上是由駭客部署的自動盜幣系統。Wintermute 指出,當使用者授權後,合約便可立即將其錢包中的以太幣(ETH)劃轉至駭客地址。
尤其值得關注的是,一種名為「CrimeEnjoyor」的 「惡意腳本」,在整體錢包授權中占比超過 80%。該腳本會假冒是正常錢包功能提升工具,一旦使用者使用授權,就會立即將資金轉入攻擊者掌控的帳戶。
區塊鏈防詐工具 ScamSniffer 指出,一起與惡名昭彰的詐騙工具「Inferno Drainer」相關的案件中,就有一個錢包遭魚叉式攻擊盜走約 15 萬美元。顯見隨著以太坊功能持續升級,新型詐騙技術也同步湧現。
評論:這起事件顯示,儘管新功能旨在提升用戶體驗,但若錢包用戶未徹底理解授權內容或未採取基本防詐手段,極可能成為駭客目標。更重要的是,以太坊社群在推動新功能同時,也需要同步推進用戶教育與措施防範。
多家資安公司,包括 SlowMist(慢霧科技)在內均指出,本質問題並非來自 EIP-7702 本身,而是使用者的 私鑰管理不當與授權機制的不透明所導致。他們呼籲錢包開發團隊應加強安全介面設計,並提升授權資訊可讀性,防止使用者誤觸陷阱。
目前根據鏈上追蹤,駭客雖已針對 7.9 萬個錢包發動攻擊,並共消耗 2.88 枚以太幣作為 Gas 費,但尚未看到大規模資金流入其主要詐騙帳戶。單一駭客地址就觸發逾 5.2 萬次授權動作,但看似仍未獲取實質性巨額利潤。
評論:這可能為社群提供了一個反擊窗口,在災難性損失出現前加強防護、修正協議。未來加密市場若繼續擴大用戶基礎,「簡化操作」與「防詐機制」將變得更加不可分割。
留言 0