Ethereum's Pectra-upgrade uitgebuit door bots die wallets leegtrekken: rapport

Ethereumis recent “Pectra”-upgrade introduceerde verschillende functies om de interactie van gebruikers met het netwerk te verbeteren. Een van de meest besproken veranderingen was EIP-7702, een voorstel gesteund door Ethereum medeoprichter Vitalik Buterin. 

Met deze functie kunnen wallets zich tijdelijk gedragen als slimme contracten, waardoor batchtransacties, gassponsoring, sociale authenticatie en bestedingslimieten mogelijk zijn.

Volgens wintermute, een toonaangevend cryptohandelsbedrijf, heeft deze nieuwe upgrade de deur geopend voor een gevaarlijke golf van geautomatiseerde sweeper-aanvallen, waardoor de portemonnees van nietsvermoedende gebruikers leeglopen. En deze aanvallen verspreiden zich snel.

Een feature met goede bedoelingen

EIP-7702 was bedoeld om Ethereum gebruiksvriendelijker te maken.

Gebruikers konden slechts één transactie ondertekenen om meerdere acties tegelijk uit te voeren – iets wat voorheen alleen mogelijk was via smart contracts. Zo kon een gebruiker bijvoorbeeld een token goedkeuren, omwisselen en de uitvoer in één keer naar een andere wallet sturen.

Het bood ook verbeteringen in de kwaliteit van leven, zoals gas sponsoren voor iemand andersof met sociale loginsystemen om wallets te verifiëren, waardoor reguliere gebruikers gemakkelijker met Ethereum kunnen interacteren zonder dat ze hoeven te worstelen met seed phrases.

Maar wat bedoeld was om gebruikers te helpen, is door kwaadwillenden al snel omgevormd tot een wapen.

De opkomst van CrimeEnjoyor: een kopieer-plak-aanvalsvector

Wintermute heeft onlangs een analyse gepubliceerd waarin wordt getoond hoe EIP-7702 wordt gebruikt door bots in zogenaamde vegeraanvallen.

Het gereedschap bij uitstek? Een veelgebruikt contract, Wintermute genaamd “Misdaadgenieter.”

Hier is hoe het werkt:

Ontdek veelbelovende projecten...

Veelbelovende projecten...

(Advertentie)

Artikel gaat verder...

Criminelen implementeren kwaadaardige contracten met simpele bytecode, gekopieerd en geplakt over duizenden instanties. Deze contracten zijn ontworpen om automatisch geld overboeken van wallets waarvan de privésleutels zijn gecompromitteerd. Zodra deze wallets ETH ontvangen, sturen de contracten het geld direct door naar het adres van de aanvaller.

Het onderzoek van Wintermute, beschikbaar gesteld via een Dune-dashboard, laat zien dat meer dan 97% van de EIP-7702-delegaties zijn aan deze identieke contracten gekoppeld.

"Het CrimeEnjoyor-contract is kort, simpel en wordt veel hergebruikt", merkte Wintermute op bij X. "Deze ene gekopieerde en geplakte bytecode is nu goed voor het merendeel van alle EIP-7702-delegaties. Het is grappig, somber en fascinerend tegelijk."

Het is niet alleen een probleem van slimme contracten

Terwijl EIP-7702 het voertuig is, de hoofdoorzaak blijft gecompromitteerde privésleutels.

Wintermute en andere beveiligingsexperts benadrukken dat EIP-7702 niet inherent gevaarlijk is. Het maakt het juist makkelijker en sneller om geld te stelen zodra een wallet is gehackt.

Als beveiligingsexpert Taylor Monahan merkte op:

"Het is eigenlijk geen 7702-probleem. Het is hetzelfde probleem dat crypto al sinds dag één heeft: eindgebruikers hebben moeite om hun privésleutels te beveiligen."

EIP-7702 zou het meer hebben gemaakt doeltreffend zodat aanvallers kwetsbare wallets kunnen opschonen.

Reële verliezen: een voorbeeld van $ 146,550

Op 23 mei ondertekende een gebruiker onbewust verschillende kwaadaardige batchtransacties met EIP-7702. Het resultaat? Een verlies van $146,550, aldus blockchain-beveiligingsbedrijf Oplichterij.

Deze kwaadaardige transacties waren gekoppeld aan Inferno afdruiprek, een bekende aanbieder van oplichtingsdiensten die al jaren actief is in de cryptowereld.

Een ongemakkelijke waarheid over de toekomst van Ethereum

Wintermute ging nog een stap verder door de kwaadaardige bytecode te reverse-engineeren in voor mensen leesbare Solidity-codeDit maakte het makkelijker om kwaadaardige contracten te identificeren en te taggen. Ze hebben de code zelfs openbaar geverifieerd om bewustzijn te creëren.

De code zelf bevat een waarschuwing in platte tekst:

"Dit contract wordt door slechteriken gebruikt om automatisch alle binnenkomende ETH te verzamelen. VERSTUUR GEEN ETH."

Maar ondanks de waarschuwing blijft het contract van kracht. Gebruikers die niet begrijpen wat ze ondertekenen, lopen een groot risico, vooral bij het gebruik van onbekende dApps of tools die hen ertoe aanzetten controle te delegeren onder EIP-7702.

Een ander beveiligingsbedrijf, slowmist, bevestigd de groeiende dreiging. Het bedrijf drong erop aan portemonnee-serviceproviders om snel aan te passen en te ondersteunen EIP-7702-delegatiewaarschuwingen.

"Wallet-dienstverleners zouden snel EIP-7702-transacties moeten ondersteunen en, wanneer gebruikers delegaties ondertekenen, het doelcontract prominent moeten weergeven om het risico op phishingaanvallen te verkleinen", aldus SlowMist.

Andere functies van Pectra worden nu overschaduwd

De Pectra-upgrade, die op 7 mei live ging om tijdperk 364032, omvatte ook twee andere belangrijke wijzigingen:

• EIP-7251: De validator-stakingcap is verhoogd van 32 ETH tot 2,048 ETH, waardoor de efficiëntie voor institutionele validatoren verbetert.
• Verbeteringen in prestaties en schaalbaarheid onder de motorkap.

Maar door het misbruik van EIP-7702 zijn deze andere upgrades grotendeels overschaduwd.

Tot op heden meer dan 12,329 EIP-7702-transacties zijn geëxecuteerd, de meeste met betrekking tot delegaties die werden misbruikt door sweeperbots.

Dus, wat is de oplossing?

Terwijl EIP-7702 zelf opt-in, en niet verplicht voor basistransacties, de noodzaak voor onderwijs, transparantie en verbeteringen op portemonnee-niveau qua beveiliging is dringender dan ooit.

Gebruikers moeten:

• Onderteken nooit onbekende transacties zonder dat u het contract begrijpt.
• Gebruik wallets die de volledige contractinformatie weergeven vóór bevestiging.
• Wees uiterst voorzichtig met elk verzoek tot delegatie, vooral als het om meerdere stappen gaat.

Voor ontwikkelaars stelt Wintermute voor het openbaar verifiëren van contracten en het gemakkelijker maken om gevaarlijke patronen te detecteren. Het bedrijf is van mening dat het agressiever taggen van kwaadaardige activiteiten nieuwe gebruikers kan beschermen en phishingrisico's kan verminderen.