Os contratos maliciosos do Ethereum projetados para drenar carteiras com segurança fraca não estão lucrando com a operação, disse Wintermute, fabricante de Crypto Market Wintermute, identificando esses contratos como “Crimeenjoyors”.
Toda a questão está ligada ao Proposta de melhoria do Ethereum (EIP) -7702parte da atualização do Pectra que foi lançada no início do mês passado. Ele permite que os endereços Ethereum regulares, protegidos por chaves privadas, operem temporariamente como contratos inteligentes, facilitando transações em lotes, autenticação por senha e limites de gastos.
O Ethereum regular aborda o controle delegado de suas carteiras para contratos inteligentes, concedendo -lhes permissão para gerenciar ou mover seus fundos. Embora tenha simplificado a experiência do usuário, também criou o risco de contratos maliciosos drenar fundos.
Na sexta-feira, mais de 80% das delegações feitas através do EIP-7702 envolveram contratos reutilizados, copiar e colar, projetados para digitalizar automaticamente e identificar carteiras fracas quanto a potencial roubo.
“Nossa equipe de pesquisa descobriu que mais de 97% de todas as delegações EIP-7702 foram autorizadas a vários contratos usando o mesmo código exato. Estes são varredoresusado para drenar automaticamente o ETH de entrada de endereços comprometidos “. Wintermute disse em x.
“O contrato do CrimeNjoyor é curto, simples e amplamente reutilizado. Este bytecode de cópia e colapso agora representa a maioria de todas as delegações EIP-7702. É engraçado, sombrio e fascinante de uma só vez”, acrescentou o fabricante de mercado.
Casos notáveis incluem uma carteira que perdeu quase US $ 150.000 por meio de transações maliciosas em lotes em um ataque de pesca, como scam de rastreador anti-escama Sniffer observado.
Ainda assim, o dreno de dinheiro em larga escala não foi lucrativo para os atacantes. Os CrimeNjoyors gastaram aproximadamente 2,88 ETH para autorizar cerca de 79.000 endereços. Um endereço específico –0x89383882fc2d0cd4d7952a3267a3b6dae967e704 – lidou com mais da metade dessas autorizações, com 52.000 permissões concedidas a ele.
Por pesquisador de Wintermuteo éter roubado pode ser rastreado analisando o código desses contratos. Para o exemplo acima, o ETH está destinado a fluir o endereço –0x6f6bd3907428e93bc58ACA9EC25AE3A80110428.
No entanto, na sexta -feira, não tinha transferências de ETH de entrada. O pesquisador acrescentou que esse padrão também parece consistente em outros CrimeNjoyors.
