Atualização Pectra do Ethereum é explorada por bots que drenam carteiras: relatório

Ethereumé recente Atualização “Pectra” introduziu vários recursos para melhorar a forma como os usuários interagem com a rede. Uma das mudanças mais comentadas foi EIP-7702, uma proposta apoiada pelo cofundador da Ethereum Vitalik Buterin. 

Esse recurso permite que as carteiras se comportem temporariamente como contratos inteligentes, permitindo transações em lote, patrocínios de gás, autenticação social e limites de gastos.

No entanto, de acordo com a inverno mudo, uma empresa líder em negociação de criptomoedas, esta nova atualização abriu as portas para uma onda perigosa de ataques de varredura automatizados, esvaziando as carteiras de usuários desavisados. E esses ataques estão se espalhando rapidamente.

Um recurso com boas intenções

O EIP-7702 foi criado para tornar o Ethereum mais fácil de usar.

Os usuários podiam assinar apenas uma transação para processar diversas ações simultaneamente — algo que antes só era possível por meio de contratos inteligentes. Por exemplo, um usuário podia aprovar um token, trocá-lo e enviar o resultado para outra carteira de uma só vez.

Também ofereceu melhorias na qualidade de vida, como patrocinando gás para outra pessoa, ou usando sistemas de login social para autenticar carteiras, facilitando a interação dos usuários comuns com o Ethereum sem precisar lidar com frases-semente.

Mas o que foi criado para ajudar os usuários rapidamente se transformou em uma arma usada por criminosos.

A Ascensão do CrimeEnjoyor: Um Vetor de Ataque de Copiar e Colar

Wintermute publicou recentemente uma análise mostrando como o EIP-7702 está sendo usado por bots no que é chamado ataques de varredura.

A ferramenta de escolha? Um contrato amplamente duplicado, Wintermute, apelidado de “CrimeEnjoyor.”

Veja como funciona:

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

Criminosos implantam contratos maliciosos com bytecode simples, copiados e colados em milhares de instâncias. Esses contratos são projetados para varrer fundos automaticamente de carteiras cujas chaves privadas foram comprometidas. Assim que essas carteiras recebem ETH, os contratos encaminham os fundos instantaneamente para o endereço do invasor.

A pesquisa de Wintermute, disponibilizada por meio de um Painel de dunas, mostra que mais de 97% das delegações EIP-7702 foram vinculados a esses contratos idênticos.

“O contrato CrimeEnjoyor é curto, simples e amplamente reutilizado”, observou Wintermute no X. “Este bytecode copiado e colado agora representa a maioria de todas as delegações EIP-7702. É engraçado, sombrio e fascinante ao mesmo tempo.”

Não é apenas um problema de contrato inteligente

Embora o EIP-7702 seja o veículo, a causa raiz continua sendo chaves privadas comprometidas.

Wintermute e outros especialistas em segurança enfatizam que o EIP-7702 não é inerentemente perigoso. Em vez disso, ele facilita e agiliza o roubo de fundos quando uma carteira é comprometida.

Como especialista em segurança Taylor Monahan observado:

“Na verdade, não se trata de um problema 7702. É o mesmo problema que as criptomoedas enfrentam desde o primeiro dia: os usuários finais têm dificuldade para proteger suas chaves privadas.”

O EIP-7702 supostamente tornou isso mais eficiente para que os invasores limpem carteiras vulneráveis.

Perdas reais: um exemplo de $ 146,550

Em 23 de maio, um usuário assinou, sem saber, várias transações em lote maliciosas usando EIP-7702. O resultado? Uma perda de $146,550, de acordo com a empresa de segurança blockchain farejador de fraude.

Essas transações maliciosas estavam vinculadas a Escorredor Infernal, um conhecido provedor de golpes como serviço que atua no setor de criptomoedas há anos.

Uma verdade inconveniente para o futuro do Ethereum

Wintermute deu um passo adiante ao fazer engenharia reversa do bytecode malicioso em código Solidity legível por humanosIsso facilitou a identificação e a marcação de contratos maliciosos. Eles até verificaram o código publicamente para aumentar a conscientização.

O próprio código contém um aviso em texto simples:

Este contrato é usado por bandidos para varrer automaticamente todos os ETH recebidos. NÃO ENVIE NENHUM ETH.

Mas, apesar do aviso, o contrato continua em vigor. Usuários que não entendem o que estão assinando correm sério risco, especialmente ao usar dApps ou ferramentas desconhecidas que os levam a delegar o controle sob a EIP-7702.

Outra empresa de segurança, slowmist, confirmado a crescente ameaça. A empresa instou provedores de serviços de carteira para se adaptar e apoiar rapidamente Avisos de delegação EIP-7702.

"Os provedores de serviços de carteira devem oferecer suporte rápido às transações EIP-7702 e, quando os usuários assinarem delegações, devem exibir com destaque o contrato de destino para reduzir o risco de ataques de phishing", disse SlowMist.

Outros recursos do Pectra agora ofuscados

A atualização do Pectra, que foi lançada em 7 de maio em época 364032, também incluiu duas outras mudanças importantes:

• EIP-7251:Aumentou o limite de participação do validador de 32 ETH a 2,048 ETH, melhorando a eficiência dos validadores institucionais.
• Melhorias de desempenho e escalabilidade nos bastidores.

Mas devido aos abusos do EIP-7702, essas outras atualizações foram amplamente ofuscadas.

Até o momento, mais de 12,329 transações EIP-7702 foram executados, a maioria ligada a delegações abusadas por robôs de varredura.

Então, qual é a solução?

Embora o próprio EIP-7702 seja Opt-in, e não é obrigatório para transações básicas, a necessidade de melhorias na educação, transparência e segurança no nível da carteira é mais urgente do que nunca.

Usuários devem:

• Nunca assine transações desconhecidas sem entender o contrato de destino.
• Use carteiras que exibam informações completas do contrato antes da confirmação.
• Trate quaisquer solicitações de delegação com extremo cuidado, especialmente quando agrupadas com várias etapas.

Para desenvolvedores, Wintermute sugere verificar contratos publicamente e tornando padrões perigosos mais fáceis de detectar. A empresa acredita que marcar atividades maliciosas de forma mais agressiva pode proteger novos usuários e reduzir os riscos de phishing.