Мошеннические группы используют множество адресов с утекшими приватными ключами для обмана, и сочетание с EIP-7702 позволяет мошенникам получить права управления аккаунтами адресов с утекшими приватными ключами. В то же время эти приманочные адреса имеют богатую историю транзакций, и обычные пользователи легко теряют бдительность, переводя Gas из-за жадности к остаткам на приманочном адресе, что приводит к краже.
Случай один
1. Адрес 0x000085bad5b016e5448a530cb3d4840d2cfd15bc развертывает несколько злонамеренных контрактов Delegator 0x930fcc, 0x1f0733, 0x9eece7 на ETH.
2. Затем, через адрес 0x9d1ff3a11f7791c6bff9399aafd5a4eaffc83efb и автоматизированный скрипт, было предоставлено множество адресов с утекшими приватными ключами злонамеренному контракту Delegator, завершив настройку приманки.
3. Распространите эти настроенные приманочные адреса через различные каналы и методы социальной инженерии среди обычных пользователей, используя случайные утечки мнемонических фраз/приватных ключей, чтобы побудить пользователей перевести небольшую сумму Gas для вывода оставшихся активов с адреса.
4. Из-за незнания принципов 7702 и прямого получения приватного ключа адреса, обычные пользователи обычно теряют бдительность, думая, что перевод небольшой суммы Gas не представляет большого риска, и, скорее всего, будут искушены перевести небольшую сумму Gas на приманочный адрес. Поскольку приманочный адрес уже авторизовал злонамеренный контракт 7702 Delegator, небольшие суммы Gas, как только они будут переведены, будут немедленно переведены на адрес 0x000085.
Случай два
1. Адрес 0x86d9AD92FC3F69CC9C1a83aFF7834fEA27f1fFF2 развертывает злонамеренный контракт Delegator на ETH, BSC, Base.
0x89046d34E70A65ACAb2152C26a0C8e493b5ba629.
2. Злонамеренный контракт Delegator в этом случае (0x89046d) более сложен, чем в первом случае; помимо автоматического перевода основной валюты, он также может вызывать контракты через сторонний адрес (0x4791eb), активно переводя основную валюту и различные токены. Затем мошенническая группа использовала автоматизированный скрипт, чтобы предоставить множество адресов с утекшими приватными ключами этому злонамеренному контракту Delegator, завершив настройку приманки.
3. Распространяйте эти настроенные приманочные адреса через различные каналы и методы социальной инженерии среди обычных пользователей и побуждайте их переводить небольшую сумму основной валюты и токенов.
4. Поскольку приманочный адрес уже авторизовал злонамеренный контракт 7702 Delegator, небольшие суммы Gas и токенов, как только они будут переведены, будут немедленно переведены на адрес 0x77dd9a93d7a1ab9dd3bdd4a70a51b2e8c9b2350d.
Рекомендации по безопасности GoPlus
1. Пользователи должны проявлять бдительность; ничего не дается просто так. Любое "пожертвование" с приватным ключом/мнемонической фразой следует рассматривать как риск, не позволяйте любопытству или жадности толкать вас на легкомысленные действия с авторизацией подписей и ни в коем случае не переводите средства на незнакомые адреса.
2. Подобно мошенничеству с мультиподписями Tron и мошенничеству с изменением прав Solana, используя адреса с утекшими приватными ключами, мошеннические группы на основе EIP-7702 расширяют такие схемы на экосистему EVM.
Подробности см. на:
https://academy.generallink.top/en/articles/what-are-multisig-scams-and-how-to-avoid-them
3. По статистике WinterMute, в настоящее время 98% авторизаций EIP-7702 указывают на несколько злонамеренных контрактов Delegator, от случая первого, который может автоматически перевести основную валюту, до второго случая, который может автоматически перевести основную валюту и токены, угроза таких мошенничеств быстро растет. GoPlus призывает все проекты в экосистеме EVM, такие как кошельки, безопасность, DEX и др., внимательно следить за вопросами безопасности 7702, а также вовремя блокировать или предупреждать пользователей об этом в своих продуктах.
4. Изучение знаний о блокчейне и понимание основных механизмов работы различных публичных цепочек поможет быстро распознать подобные мошенничества. Если возникнут проблемы, немедленно обратитесь за советом к GoPlus или профессиональному эксперту по безопасности, не действуйте необдуманно.