Cập nhật Pectra của Ethereum đang đối mặt với những lo ngại ngày càng tăng về các lỗ hổng bảo mật

Mối lo ngại tiếp tục gia tăng về bản nâng cấp giao thức mới nhất của Ethereum khi các rủi ro bảo mật thu hút những kẻ xấu có ý định rút tiền từ ví của người dùng.

Đề xuất cải tiến Ethereum EIP-7702, một phần của bản nâng cấp Pectra được giới thiệu đầu năm nay, đang thu hút sự chú ý từ cộng đồng crypto sau khi nhiều lỗ hổng đã được quan sát trên chuỗi.

Được đề xuất bởi đồng sáng lập Vitalik Buterin, bản nâng cấp ban đầu được thiết kế để cải thiện chức năng ví bằng cách cho phép các ví Ethereum tiêu chuẩn tạm thời hoạt động như các hợp đồng thông minh.

Tuy nhiên, tính năng này đã thu hút sự chú ý đáng kể từ các tác nhân độc hại khai thác khả năng của nó.

Các cuộc tấn công EIP-7702 trên Ethereum đang gia tăng

Các nhà nghiên cứu bảo mật đã xác định rằng nhiều ủy quyền EIP-7702 liên quan đến các bot rút tiền độc hại bắt đầu từ ngày 30 tháng 5 năm 2025, sau khi nhà tạo lập thị trường tiền điện tử Wintermute báo cáo về sự gia tăng các hợp đồng thông minh độc hại lợi dụng tính năng ủy quyền mới.

Được gọi là "CrimeEnjoyors", các hợp đồng này là những đoạn mã ngắn, có thể tái sử dụng, tự động quét các ví được ủy quyền để tìm kiếm lỗ hổng và cố gắng chuyển tiền đến các địa chỉ do kẻ tấn công kiểm soát. Các kịch bản độc hại này tự động hóa việc đánh cắp tiền từ các ví bị xâm phạm bằng cách lén lút gộp các phê duyệt token giả mạo theo các mẫu không thể phát hiện.

Trong khi Wintermute nói thêm rằng nhiều hợp đồng độc hại vẫn chưa trích xuất thành công, một số người dùng đã trở thành nạn nhân. Vào ngày 24 tháng 5 năm 2025, nền tảng chống lừa đảo tiền điện tử Scam Sniffer tiết lộ rằng một người dùng đã mất khoảng 150.000 đô la ETH do một cuộc tấn công lừa đảo tận dụng hợp đồng độc hại bằng cách sử dụng ủy quyền EIP-7702.

Vấn đề gốc thường xuất phát từ việc bị xâm phạm khóa riêng, mà chức năng của EIP-7702 làm trầm trọng thêm bằng cách cho phép ăn cắp nhanh chóng và tự động. Người sáng lập công ty bảo mật blockchain SlowMist, Yu, đã nhấn mạnh tác động tiềm ẩn của lỗ hổng này, đồng thời lặp lại những lời kêu gọi rộng rãi cho người dùng cần phải thận trọng.

Cách Để Giữ An Toàn

Theo phân tích vào tháng 3 năm 2025 của SlowMist, việc ký kết thận trọng, hợp đồng đã được xác minh và thực hành phát triển thông minh là chìa khóa để giữ an toàn với EIP-7702. Người dùng nên xác minh các hợp đồng mục tiêu trước khi ủy quyền truy cập và tránh tương tác với các DApp đáng ngờ.

Các nhà cung cấp ví cũng được khuyến cáo hiển thị cảnh báo rõ ràng trong quá trình ủy quyền, điều này có thể phục vụ như một lớp bảo vệ bổ sung cho người dùng chống lại các cuộc tấn công lừa đảo.