Wintermute: Pectra «спростила життя» зловмисникам
Механізм абстракції акаунтів, впроваджений в Ethereum-апгрейді Pectra, використовується переважно зловмисниками. Про це повідомили аналітики Wintermute.
While EIP-7702 brings new convenience, it also introduces new risks
— Wintermute (@wintermute_t) May 30, 2025
Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9
Йдеться про EIP-7702 — пропозицію засновника мережі Віталіка Бутеріна, що впроваджує спеціальний тип транзакції, на час виконання якої обліковий запис Ethereum здатний функціонувати як смартконтракт. Це відбувається завдяки «індикаторам делегування» (delegation indicator), що скеровують систему до відповідного програмного коду, який потрібно виконати.
За висновками Wintermute, понад 97% делегувань за механізмом з EIP-7702 вели на групу смартконтрактів з ідентичним кодом. Аналітики зазначили, що таким чином зловмисники автоматично «вичищають» Ethereum-гаманці зі скомпрометованими ключами.
Спеціалісти розібрали код «проблемного» контракту, який назвали CrimeEnjoyor, і підтвердили його призначення — автоматизувати протиправний переказ користувацьких коштів.
«Контракт CrimeEnjoyor короткий, простий і широко використовується. Цей скопійований байт-код тепер відповідає за більшість всіх делегувань EIP-7702. Це водночас смішно, похмуро і захоплююче», — зазначили експерти.
В Wintermute підкреслили, що без належної верифікації та інструментів підвищення прозорості «стає важче відрізнити інфраструктуру від експлуатації», що особливо важливо для нових користувачів.
Нагадаємо, у травні збитки криптоіндустрії від зламів становили $244 млн.