EIP-7702 Logo В мае 2025 года экосистема Ethereum пережила важное событие — активацию обновления Pectra, которое не только укрепило позиции Ethereum на рынке, но и принесло новые функциональные возможности. Одним из ключевых нововведений стала улучшенная абстракция учетной записи (АУЗ), позволяющая стандартным адресам Ethereum (EOA) функционировать как кошельки смарт-контрактов. Это обновление, основанное на EIP-7702, ввело новый тип транзакций user_operation, предоставляя пользователям небывалую гибкость. Однако у этой инновации есть и обратная сторона: она открыла хакерам новые возможности для эксплуатации уязвимостей с помощью всего одной подписи. В этой статье мы разберем двойственную природу абстракции учетной записи в рамках Pectra, связанные с ней риски и способы защиты активов.

Возможности и риски абстракции учетной записи

Обновление Pectra, активированное 7 мая 2025 года, принесло в Ethereum множество улучшений, центральное место среди которых занимает абстракция учетной записи. Теперь обычные EOA могут работать как смарт-контракты, позволяя выполнять сложные операции — такие как пакетные транзакции, установка лимитов расходов и автоматические платежи — в рамках одной транзакции, оплачивая газ в нативных токенах вместо ETH. Это значительно упрощает взаимодействие с децентрализованными приложениями (dApps), такими как децентрализованные биржи (DEX), устраняя необходимость ручного подтверждения каждой транзакции.

Однако мощь абстракции учетной записи сопряжена с серьезными рисками. Обновление заменило спорное предложение EIP-3074, которое критиковали за передачу почти полного контроля над EOA смарт-контракту, что делало аккаунты уязвимыми для атак. EIP-7702, предложенное сооснователем Ethereum Виталиком Бутериным, считалось более безопасной альтернативой. Вместо делегирования контроля оно встраивает код смарт-контракта непосредственно в EOA, предоставляя возможность отзыва разрешений и совместимость с будущими улучшениями АУЗ. Несмотря на эти меры, EIP-7702 не устранило уязвимости полностью. Хакеры быстро адаптировались, используя новый тип транзакций для проведения изощренных фишинговых атак.

Почему EIP-7702 не решает всех проблем

Хотя EIP-7702 устранило некоторые недостатки EIP-3074, оно привнесло собственные уязвимости. Встраивание функционала смарт-контрактов в EOA упрощает выполнение сложных операций, но также открывает возможности для злоумышленников. Одна подписанная транзакция теперь может запустить цепочку действий, включая несанкционированные переводы активов, если пользователь взаимодействует с вредоносным протоколом. Сам Бутерин предупреждал о рисках, отмечая, что любые попытки «снижения привилегий» (например, использование дополнительных ключей для безопасности) все равно могут привести к фишинговым атакам и проблемам централизации. Как он и предсказывал, интеграция кода смарт-контрактов в EOA не остановила злоумышленников — в некоторых случаях она даже облегчила их задачу.

Реальные случаи атак: хакеры используют новые возможности

С момента активации Pectra популярность абстракции учетной записи стремительно растет. Согласно дашборду Wintermute на Dune, более 140 000 EOA делегировали контроль смарт-контрактам, а лидерами по количеству авторизаций стали такие платформы, как WhiteBIT, OKX Wallet и MetaMask. Однако этот рост привлек внимание злоумышленников. Из 299 созданных смарт-контрактов с возможностью делегирования 82.3% связаны с преступной деятельностью, согласно данным Wintermute. Лишь 11.3% относятся к розничным кошелькам, а 5.3% — к легитимным сервисам.

DUNE EIP7702

Кейс: Фишинг с использованием АУЗ

20 мая 2025 года аналитики GoPlus Security зафиксировали один из первых случаев фишинга, связанного с EIP-7702. Они проанализировали вредоносный смарт-контракт, который при подписании мгновенно переводил все активы жертвы на адрес злоумышленников. Этот контракт получил около 300 авторизаций, что свидетельствует о масштабе угрозы. GoPlus назвали атаку «изощренной», отметив, что она эксплуатировала доверие пользователей к новой функциональности EIP-7702.

Go PLUS EIP-7702

Вредоносный код смарт-контракта с EIP-7702. Который получил более 300 авторизаций.
Вредоносный код смарт-контракта с EIP-7702. Который получил более 300 авторизаций.

24 мая ScamSniffer сообщили о жертве фишинга, потерявшей около $146 000 в криптовалютах из-за «вредоносных пакетных транзакций», использующих АУЗ. Параллельно исследователи Web3 обнаружили, что хакерская группировка AngelFerno обновила свое вредоносное ПО (дрейнер), добавив поддержку EIP-7702. Эта малварь позволяет одновременно выводить до 10 различных токенов в сетях Ethereum, BNB Chain и Gnosis с помощью одной подписи, демонстрируя пугающую эффективность атак.

Как хакеры используют абстракцию учетной записи

Основная проблема кроется в возможностях смарт-контрактных кошельков. Хотя они поддерживают продвинутые функции, такие как пакетные транзакции и оплата газа без ETH, они также позволяют злоумышленникам создавать протоколы, выполняющие разрушительные действия с минимальным участием пользователя. Например, вредоносный смарт-контракт может быть настроен так, чтобы переводить все активы с кошелька жертвы на адрес хакера после одной подписи. Это устраняет необходимость многократного подтверждения транзакций, как это было с традиционными EOA, где каждое действие на DEX или dApp требовало отдельного одобрения, предоставляя пользователю больше шансов заметить подозрительное поведение.

Упрощенный пользовательский опыт, хотя и удобен, снижает барьеры безопасности, которые раньше служили защитой. Теперь одна подпись может санкционировать целую цепочку действий, что делает фишинг более эффективным.

Как защитить себя в эпоху абстракции учетной записи

Хотя АУЗ привносит новые риски, пользователи могут предпринять шаги для защиты своих активов. Универсального способа противодействия фишингу пока нет, но внимательность и соблюдение лучших практик значительно снижают риски. Вот основные рекомендации:

  1. Проверяйте перед подписью: Авторизуйте делегирование только через официальные сайты или проверенные расширения браузера. Избегайте перехода по подозрительным ссылкам и не доверяйте email-письмам, требующим подписи для подключения к смарт-аккаунту.
  2. Анализируйте код контракта: По возможности изучайте код смарт-контракта перед подписью. Будьте особенно осторожны с контрактами с закрытым кодом, так как они могут скрывать вредоносные функции.
  3. Проверяйте адреса авторизации: Всегда дважды проверяйте адрес, который вы авторизуете, сверяя его с официальными источниками.
  4. Не торопитесь: Не подписывайте транзакции поспешно. Уделите время анализу протокола и его разрешений.
  5. Используйте предупреждения кошельков: Ведущие кошельки, такие как MetaMask, внедрили уведомления о рисках, связанных с EIP-7702. Обращайте внимание на эти предупреждения, так как они могут сигнализировать о подозрительных контрактах.
Пример предупреждения Metamask
Как выглядит предупреждение в Metamask

GoPlus Security отметили, что предупреждения MetaMask эффективно помогают пользователям избегать угроз, но они не заменяют личной бдительности. Осведомленность и осторожность остаются ключевыми.

Общая картина: Баланс между инновациями и безопасностью

Обновление Pectra и EIP-7702 стали значительным шагом вперед для удобства использования Ethereum, делая DeFi и dApps более доступными. Возможность выполнять сложные транзакции без лишних сложностей — это настоящий прорыв. Однако удобство имеет свою цену. Рост фишинговых атак с использованием АУЗ подчеркивает необходимость повышения уровня образования пользователей и внедрения более надежных мер безопасности.

Данные вызывают тревогу: почти три четверти делегированных смарт-контрактов связаны с преступной деятельностью. Это создает серьезные вызовы для сообщества Ethereum. Тем не менее, это не означает провал EIP-7702. Его преимущества — упрощенный UX, гибкость транзакций и совместимость с будущими обновлениями — остаются значительными. Решение проблемы заключается в улучшении интерфейсов кошельков, усилении ончейн-аналитики и повышении осведомленности пользователей.

Заключение: Будьте умны и осторожны

Абстракция учетной записи — это мощный инструмент, но он требует нового уровня ответственности. По мере того как пользователи Ethereum осваивают возможности обновления Pectra, им необходимо учитывать связанные с ним риски. Оставаясь бдительными, проверяя контракты и используя встроенные предупреждения кошельков, вы можете наслаждаться преимуществами смарт-контрактных кошельков, минимизируя угрозы. В децентрализованном мире личная ответственность остается краеугольным камнем безопасности. Защищайте свои активы, оставаясь информированными и осторожными — ведь в эпоху абстракции учетной записи одна подпись может изменить все.

Дисклеймер: Для глубокого понимания технических аспектов статьи рекомендуем ознакомиться с материалами на нашем сайте, посвященными абстракции учетной записи и обновлению Pectra.