L'aggiornamento Pectra di Ethereum sfruttato dai bot che svuotano i portafogli: rapporto

Ethereumè recente Aggiornamento “Pectra” ha introdotto diverse funzionalità per migliorare il modo in cui gli utenti interagiscono con la rete. Una delle modifiche più discusse è stata EIP-7702, una proposta sostenuta dal co-fondatore di Ethereum Vitalik Buterin. 

Questa funzionalità consente ai portafogli di comportarsi temporaneamente come contratti intelligenti, consentendo transazioni batch, sponsorizzazioni di gas, autenticazione social e limiti di spesa.

Tuttavia, secondo Invernomuto, una delle principali società di trading di criptovalute, questo nuovo aggiornamento ha aperto le porte a una pericolosa ondata di attacchi di spazzamento automatizzati, prosciugando i portafogli degli utenti ignari. E questi attacchi si stanno diffondendo rapidamente.

Una funzionalità con buone intenzioni

L'EIP-7702 è stato concepito per rendere Ethereum più intuitivo.

Gli utenti potevano firmare una sola transazione per gestire più azioni contemporaneamente, cosa che in precedenza era possibile solo tramite contratti intelligenti. Ad esempio, un utente poteva approvare un token, scambiarlo e inviare l'output a un altro wallet in un'unica soluzione.

Ha inoltre offerto miglioramenti della qualità della vita come sponsorizzare il gas per qualcun altroo utilizzando sistemi di accesso social per autenticare i portafogli, rendendo più semplice per gli utenti comuni interagire con Ethereum senza dover lottare con frasi seed.

Ma ciò che era stato progettato per aiutare gli utenti è stato rapidamente trasformato in un'arma da parte di malintenzionati.

L'ascesa di CrimeEnjoyor: un vettore di attacco copia-incolla

Wintermute ha recentemente pubblicato un'analisi che mostra come EIP-7702 viene utilizzato dai bot in quelli che vengono chiamati attacchi di spazzamento.

Lo strumento prescelto? Un contratto ampiamente duplicato, soprannominato Wintermute "Goditore del crimine."

Ecco come funziona:

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

I criminali distribuiscono contratti dannosi con semplice bytecode, copiati e incollati in migliaia di istanze. Questi contratti sono progettati per raccogliere automaticamente i fondi Da portafogli le cui chiavi private sono state compromesse. Una volta che questi portafogli ricevono ETH, i contratti inoltrano immediatamente i fondi all'indirizzo dell'attaccante.

La ricerca di Wintermute, resa disponibile tramite un Cruscotto di dune, mostra che oltre il 97% delle deleghe EIP-7702 sono stati collegati a questi contratti identici.

"Il contratto CrimeEnjoyor è breve, semplice e ampiamente riutilizzato", ha osservato Wintermute su X. "Questo bytecode copiato e incollato ora rappresenta la maggior parte di tutte le deleghe EIP-7702. È divertente, cupo e affascinante allo stesso tempo."

Non è solo un problema di contratti intelligenti

Mentre EIP-7702 è il veicolo, la causa principale rimane la compromissione delle chiavi private.

Wintermute e altri esperti di sicurezza sottolineano che EIP-7702 non è intrinsecamente pericoloso. Piuttosto, rende più facile e veloce il furto di fondi una volta che un portafoglio è compromesso.

Come esperto di sicurezza Taylor Monahan osservato:

"In realtà non è un problema del 7702. È lo stesso problema che le criptovalute hanno fin dal primo giorno: gli utenti finali hanno difficoltà a proteggere le proprie chiavi private."

Secondo quanto riferito, EIP-7702 lo ha reso più efficiente per consentire agli aggressori di ripulire i portafogli vulnerabili.

Perdite reali: un esempio da 146,550 $

Il 23 maggio, un utente ha firmato inconsapevolmente diverse transazioni batch dannose utilizzando EIP-7702. Il risultato? Una perdita di $146,550, secondo la società di sicurezza blockchain Sniffer di truffe.

Queste transazioni dannose erano collegate a Scolapiatti Infernale, un noto fornitore di servizi di truffa attivo nel settore delle criptovalute da anni.

Una scomoda verità per il futuro di Ethereum

Wintermute ha fatto un ulteriore passo avanti eseguendo il reverse engineering del bytecode dannoso in codice Solidity leggibile dall'uomoCiò ha reso più facile identificare e contrassegnare i contratti dannosi. Hanno persino verificato pubblicamente il codice per aumentare la consapevolezza.

Il codice stesso contiene un avviso in testo normale:

"Questo contratto viene utilizzato dai malintenzionati per spazzare via automaticamente tutti gli ETH in entrata. NON INVIARE ALCUN ETH."

Ma nonostante l'avvertimento, il contratto rimane valido. Gli utenti che non capiscono cosa stanno firmando corrono gravi rischi, soprattutto quando utilizzano dApp o strumenti sconosciuti che li spingono a delegare il controllo ai sensi dell'EIP-7702.

Un'altra società di sicurezza, slowmist, confermato la crescente minaccia. L'azienda ha esortato fornitori di servizi di portafoglio per adattarsi e supportare rapidamente Avvisi di delega EIP-7702.

"I fornitori di servizi di portafoglio dovrebbero supportare rapidamente le transazioni EIP-7702 e, quando gli utenti firmano le deleghe, dovrebbero mostrare in modo evidente il contratto di destinazione per ridurre il rischio di attacchi di phishing", ha affermato SlowMist.

Le altre caratteristiche di Pectra ora sono messe in ombra

L'aggiornamento Pectra, entrato in funzione il 7 maggio alle epoca 364032, includeva anche altre due importanti modifiche:

• EIP-7251: Sollevato il limite di picchettamento del validatore da Da 32 ETH a 2,048 ETH, migliorando l'efficienza dei validatori istituzionali.
• Miglioramenti in termini di prestazioni e scalabilità.

Ma a causa degli abusi dell'EIP-7702, questi altri aggiornamenti sono stati ampiamente messi in ombra.

Ad oggi, più di 12,329 transazioni EIP-7702 sono stati giustiziati, la maggior parte dei quali è legata a delegazioni abusate da robot spazzini.

Quindi, qual è la soluzione?

Mentre EIP-7702 stesso è Opt-in, e non obbligatorio per le transazioni di base, la necessità di istruzione, trasparenza e miglioramenti della sicurezza a livello di portafoglio è più urgente che mai.

Gli utenti dovrebbero:

• Non firmare mai transazioni sconosciute senza aver compreso il contratto di destinazione.
• Utilizza portafogli che visualizzano le informazioni contrattuali complete prima della conferma.
• Trattare con estrema cautela qualsiasi richiesta di delega, soprattutto se raggruppata in più passaggi.

Per gli sviluppatori, Wintermute suggerisce verificare pubblicamente i contratti e rendendo più facili da individuare i pattern pericolosi. L'azienda ritiene che etichettare le attività dannose in modo più aggressivo possa proteggere i nuovi utenti e ridurre i rischi di phishing.