Las pandillas de phishing están utilizando un gran número de direcciones con claves privadas filtradas para cometer fraudes, y la combinación con EIP-7702 permite a las pandillas de phishing obtener permisos de gestión de cuentas de las direcciones con claves privadas filtradas. Al mismo tiempo, estas direcciones señuelo también tienen un rico historial de transacciones, lo que hace que los usuarios comunes bajen la guardia fácilmente, debido a los saldos en las direcciones de señuelo codiciosas, y transfieran Gas, lo que lleva al robo.
Caso uno
1. La dirección 0x000085bad5b016e5448a530cb3d4840d2cfd15bc ha desplegado múltiples contratos maliciosos Delegator en ETH 0x930fcc, 0x1f0733, 0x9eece7.
2. Después, a través de la dirección 0x9d1ff3a11f7791c6bff9399aafd5a4eaffc83efb y scripts de automatización, se autorizaron direcciones con claves privadas filtradas en masa al contrato malicioso Delegator, completando la configuración del señuelo.
3. Difundir estas direcciones señuelo configuradas a través de diversos canales y métodos de ingeniería social a usuarios comunes, utilizando tácticas de divulgación de palabras clave que sugieren que solo necesitan transferir una pequeña cantidad de Gas para poder retirar los activos restantes de la dirección.
4. Debido a la falta de familiaridad con el principio de 7702, y al haber obtenido directamente la clave privada de la dirección, los usuarios comunes suelen bajar la guardia, pensando que transferir una pequeña cantidad de Gas no representa un gran riesgo, lo que muy probablemente les lleve a inducir la transferencia de pequeñas cantidades de Gas a la dirección señuelo. Dado que la dirección señuelo ya ha autorizado al malicioso Delegator 7702, cualquier pequeña cantidad de Gas que se transfiera será inmediatamente transferida a la dirección 0x000085.
Caso dos
1. La dirección 0x86d9AD92FC3F69CC9C1a83aFF7834fEA27f1fFF2 tiene contratos maliciosos Delegator desplegados en ETH, BSC, Base.
0x89046d34E70A65ACAb2152C26a0C8e493b5ba629.
2. El contrato malicioso Delegator en este caso (0x89046d) es más complejo que el caso uno, además de poder transferir automáticamente la moneda principal, también puede realizar llamadas a contratos a través de una dirección de terceros (0x4791eb), transfiriendo activamente la moneda principal y varios Tokens. Luego, la pandilla fraudulenta utilizó scripts de automatización para autorizar en masa direcciones con claves privadas filtradas a este contrato malicioso Delegator, completando la configuración del señuelo.
3. Difundir estas direcciones señuelo configuradas a través de diversos canales y métodos de ingeniería social a usuarios comunes e inducir a los usuarios a transferir pequeñas cantidades de monedas principales y Tokens.
4. Debido a que la dirección señuelo ya ha autorizado al malicioso Delegator 7702, cualquier pequeña cantidad de Gas y Token que se transfiera será inmediatamente transferida a la dirección 0x77dd9a93d7a1ab9dd3bdd4a70a51b2e8c9b2350d.
Recomendaciones de seguridad de GoPlus
1. Los usuarios deben estar alerta, no hay nada gratis en la vida, cualquier 'donación' que venga con una clave privada/frase de recuperación debe considerarse un riesgo, no firmen autorizaciones fácilmente por curiosidad o codicia, y no transfieran fondos a direcciones desconocidas.
2. Al igual que la estafa de múltiples firmas de Tron y la estafa de cambio de permisos de Solana, utilizando direcciones con claves privadas filtradas, la pandilla fraudulenta está expandiendo este tipo de engaños en la cadena EVM basada en EIP-7702.
Para más detalles, consulta:
https://academy.generallink.top/en/articles/what-are-multisig-scams-and-how-to-avoid-them
3. Según las estadísticas de WinterMute, actualmente el 98% de las autorizaciones EIP-7702 apuntan a múltiples contratos maliciosos Delegator, desde el caso uno que solo puede transferir automáticamente la moneda principal, hasta el caso dos que transfiere automáticamente la moneda principal y Token, el daño de este tipo de estafas está aumentando rápidamente. GoPlus insta a todos los proyectos relacionados con billeteras EVM, seguridad, DEX, etc., a prestar atención a los problemas de seguridad 7702 y a interceptar o alertar a los usuarios a tiempo para evitarlo.
4. Aprender sobre blockchain y mantener un conocimiento básico sobre el mecanismo de operación de diferentes cadenas públicas puede ayudarte a detectar rápidamente estafas similares. Si encuentras un problema, busca a GoPlus o a un experto en seguridad profesional para obtener asesoramiento, no actúes sin pensar.