Фрустрация учетной записи. Как обновление Pectra облегчило жизнь хакерам

Дисклеймер: для полного погружения в технологические аспекты статьи редакция рекомендует прочитать материалы на сайте, посвященные абстракции учетной записи и апгрейду Pectra.  Помимо толчка для курса Ethereum, майский апгрейд Pectra привнес в экосистему расширенный функционал и улучшения. В том числе он дополнил технологию абстракции учетной записи (АУЗ): появился новый тип транзакций, позволяющий обычным адресам функционировать как кошельки смарт-контрактов.  С одной стороны, нововведения расширили спектр применения АУЗ и упростили пользовательский опыт, но с другой дали возможность хакерам опустошать кошельки жертв с помощью одной подписи. Рассказываем, какими новыми уязвимостями пользуются преступники и как обезопасить свои средства.  Природа проблемы О повышенной опасности функционала абстракции учетной записи говорили и до активации Pectra в мейннете. Первоначальным компонентом обновления было EIP-3074, которое бы «делегировало контроль над EOA смарт-контракту». Однако от предложения отказались в пользу более безопасного, как тогда казалось, варианта EIP-7702 от Виталика Бутерина.  EIP-3074 критиковали за передачу практически полного контроля над кошельком смарт-контракту, которому делегировался доступ. Таким образом злоумышленники могли опустошить баланс пользователя с помощью одной подписи.  Традиционные EOA после подключения кошелька к протоколу требовали одобрения каждой последующей транзакции. Например, на DEX любое торговое действие приходится подписывать вручную. EIP-3074 устраняла эту необходимость с помощью опкодов AUTH и AUTHCALL, но учетные записи становились более уязвимыми к вредоносным протоколам.  Отклоненное предложение передавало управление над внешним адресом смарт-контракту, тогда как в пришедшем ему на смену EIP-7702 код смарт-контракта добавлялся к EO​A. Инициатива вводила новый тип транзакций user_operation, а также предусматривала возможность отзыва разрешений и совместимость с будущими обновлениями АУЗ. Тем не менее даже Бутерин говорил о критических недостатках технологии, включая риски доверия и централизации: «Создается впечатление, что с аналогичной проблемой столкнется любое предложение, которое предполагает варианты использования EIP-3074 через “деэскалацию привилегий” (также известную как дополнительные ключи)». В этом он оказался прав: перемещение кода на уровень учетной записи не остановило фишинговые атаки, а, наоборот, в каком-то смысле упростило их.  Реальные кейсы  Возможности смарт-аккаунтов позволяют выполнять сложные действия в рамках одной транзакции, поддерживают лимит расходов, автоплатежи и оплату газа в нативном токене вместо ETH. Но что, если хакеры создадут протокол, который просто перечисляет все ваши средства на их кошелек? И для этого потребуется всего одна подпись.  Согласно дашборду на Dune от Wintermute, с момента активации Pectra 7 мая количество делегаций EOA смарт-контрактам превысило 140 000. В лидерах по авторизациям среди известных платформ — WhiteBIT, OKX Wallet и MetaMask.  Данные: Dune.  Общее количество созданных смарт-контрактов с возможностью делегации прав — 218.  20 мая аналитики GoPlus Security зафиксировали один из первых фишинговых инцидентов с АУЗ. Эксперты проанализировали подозрительный смарт-контракт и обнаружили, что при его подписании мгновенно реализовывалась функция автоматического перевода активов с кошелька жертвы на адрес злоумышленников. 1/On-chain data from https://t.co/yEVDjpXZOL shows 10K+ addresses using smart accounts. Below are the top 10 most-authorized 7702 Delegators: pic.twitter.com/akUzi7lPLo— GoPlus Security 🚦 (@GoPlusSecurity) May 20, 2025 Согласно ончейн-данным, смарт-контракт получил около 300 авторизаций.  Вредоносный код смарт-контракта с EIP-7702. Данные: X. «Изощренный механизм кражи. Эта сложная атака использует доверие пользователей к новому EIP-7702», — отметили в GoPlus. В дашборде Wintermute также предусмотрена категоризация контрактов для делегирования. Сейчас на «преступления» приходится около 72,8%. Вторая по объему категория (15%) относится к ретейл-кошелькам, а еще третья (9%) — к «услугам».  Данные: Dune.  24 мая аналитики ScamSniffer сообщили о жертве АУЗ-фишинга, которая потеряла около $146 000 в криптовалютах из-за «вредоносных пакетных транзакций». Параллельно Web3-исследователь обнаружил, что хакерская группировка AngelFerno добавила поддержку функционала EIP-7702 в продаваемый дрейнер. Малварь позволяет одновременно выводить до 10 различных монет за одну подпись в сетях Ethereum, BNB Chain и Gnosis. AngelFerno keeping up with the latest #EIP7702 developments Teams like @MetaMask have already taken steps to protect you. Great explanations by @Kerberus @0xOhm_eth and others What does this mean? Summary:A drainer update has been released adding Pectra (EIP-7702)… pic.twitter.com/T6d1mwkqRc— 0xSaiyangod (@saiyangod0x) May 10, 2025 Советы по самообороне Универсальных способов противодействия злоумышленникам при переходе на смарт-кошелек пока не существует, впрочем, как и в случае с традиционным фишингом в блокчейне. Однако все эксперты по кибербезопасности сходятся во мнении — поможет внимательность.  Возможные рекомендации: авторизовывайте делегирование только через официальные сайты и плагины; не переходите по подозрительным ссылкам и не доверяйте email-письмам, которые требуют подписи для подключения к смарт-аккаунту; при малейшем подозрении лично анализируйте код контракта;  проявляйте бдительность при взаимодействии с контрактами с закрытым кодом;  перепроверяйте адрес авторизации и не торопитесь с подписью транзакций; В GoPlus Security также отметили, что ведущие кошельки вроде MetaMask уже добавили предупреждения о рисках в рамках EIP-7702. При взаимодействии с подозрительным протоколом приложение покажет соответствующее уведомление.  Предупреждение в MetaMask. Данные: X. Заключение Поскольку пользователи активно переходят на расширенные функции кошелька, злоумышленники увидели новые способы заработка. Конечно, это не означает провал EIP-7702 — нововведение по-прежнему имеет сильные стороны и преимущества, вроде упрощения UX.  Взаимодействие с блокчейном всегда было тесно связано с личной ответственностью за сохранность своих средств, но абстракция учетной записи требует большей внимательности, чем когда-либо. Помните о рисках и базовых правилах кибербезопасности, если захотите трансформировать кошелек в смарт-контракт.