更多标记的CrimeEnjoyor合约、零售钱包细分,以及我们EIP-7702仪表板上的历史最高委托量 我们对我们的@Dune仪表板进行了多项更新,以提高准确性、扩展合约跟踪,并呈现更清晰的采用模式 ↓ 🧩 关于我们EIP-7702发现的报告澄清 在我们发布上次更新后,一些头条新闻误传了核心信息。以下是实际情况: EIP-7702并没有缺陷,安全可用于零售钱包。机制本身按预期工作。 委托激增源于多个共享相同字节码的恶意合约。这些并不是合法钱包基础设施的一部分。事实上,受信钱包的用户无法授权这些合约,因为钱包只会委托给自己审核过的合约。这些恶意合约充当清扫者。它们在私钥已经泄露后被部署,用于自动重定向发送到被攻陷的EOA的任何资金。 攻击者迅速采用任何允许他们做坏事的新机制。这并不意味着EIP-7702在一般情况下是不安全的。 我们没有构建检测工具。我们所做的是验证并标记最常被重用的恶意合约,以便其意图透明、可追踪,并且在工具和仪表板中易于标记。 🔐 新合约跟踪 CrimeEnjoyor2和AdvancedCrimerEnjoyor是现在已完全验证的新高频重用清扫合约。 与HardcodedCrimeEnjoyor一起,这些合约占据了新恶意委托行为的很大一部分。 📈 日委托量历史最高 + 多链扩展 上周五标志着EIP-7702委托活动的新历史最高,再次主要由清扫合约驱动。从那时起,清扫者的使用已将以太坊扩展到@unichain和@gnosischain。 🧹 新的“以太坊上的清扫活动”部分 我们添加了一个专门的视图来跟踪与“犯罪”类别的委托合约相关的恶意委托行为。该部分分析了来自授权地址的清扫活动,这些地址委托给恶意合约,并包括: ‣ 最近的清扫交易 ‣ 按合约类型细分的总ETH清扫量 ‣ 按合约类别的燃气使用分布 ‣ 用于授权的总ETH ‣ 被攻陷EOA的授权排行榜 ‣ 被犯罪标记合约授权的唯一地址计数 🛠️ 数据准确性改进 一些授权逻辑尚未完全被Dune的本地功能捕获,特别是在授权有效性和权限恢复方面。 为了支持更精确的分析,我们自己预处理了这些数据并发布了公共数据集。 →→→ 在我们的仪表板中搜索:`dune.wintermute_research.dataset_pectra_authorizations` 我们将定期更新,并欢迎其他人将其用于自己的仪表板和查询。 该数据集现在为我们仪表板中的几个新视图提供支持: ‣ 有效与无效授权的每日细分 ‣ 有效/无效授权和唯一授权地址的分布 ‣ 基于仅有效授权的累积和分类图表 ‣ 带有权限和有效性标志的最近授权列表(更新有延迟) 👛 零售钱包部分增强 ‣ 每日和累积委托图表现在包括按零售钱包的细分 ‣ 新的饼图显示支持钱包之间的委托量分布 → 目前包括@MetaMask、@wallet、@AmbireWallet、@Uniswap等 → 提高了对实际用户采用情况的可见性 随着更多经过验证的合约、更清晰的委托数据以及您持续的支持,我们正在使EIP-7702的采用变得更加可见、可审计和易于理解。 🔗 探索更新的仪表板: 感谢@FrankResearcher @emparedad0 @0xf4d3不断改进我们的EIP-7702仪表板
Wintermute
Wintermute2025年5月31日
虽然EIP-7702带来了新的便利,但也引入了新的风险 我们的研究团队发现,超过97%的EIP-7702授权被用于多个使用完全相同代码的合约。这些合约是“清扫器”,用于自动清空来自被攻陷地址的ETH。 更多见解请查看我们的@Dune仪表盘 ↓ 仪表盘中的“犯罪”标签是什么? 这些大多是设计用于自动清扫资金的委托合约,目标是泄露私钥的EOA。 我们在原始帖子中强调了这一模式,基于从被攻陷地址的授权行为中观察到的情况。 当时,字节码尚未验证。现在,我们已将EVM字节码反编译为Solidity,并发布了一个名为CrimeEnjoyor的验证版本。 为什么要验证? 因为验证后的代码可以使意图变得可见。我们不再需要从交易模式或元数据中推断恶意行为。 这让我们能够: ‣ 明确显示恶意合约的具体行为 ‣ 添加公开警告 ‣ 为其他用户清晰标记 CrimeEnjoyor合约简短、简单且被广泛复用。这段复制粘贴的字节码现在占据了所有EIP-7702授权的大部分。 这既有趣,又令人沮丧,同时也很吸引人。 它还强化了一个关键点:像EIP-7702这样的新原语扩展了可能性,但如果没有验证、标记和透明工具,新用户尤其难以区分基础设施与利用行为。 仪表盘的新更新 我们为以下使用的委托合约添加了标签: ‣ @TrustWallet ‣ @ithacaxyz的Porto ‣ @thirdweb ‣ @Uniswap Calibur的v1版本 ‣ @FireblocksHQ 以及更多带有犯罪标签的合约 随着更多被攻陷的合约被标记,更多活动可以被揭示,更多用户可以得到保护。 现在,您还可以探索EIP-7702用户在以太坊上的详细活动分析,包括他们与哪些合约交互。目前,这仅涵盖MetaMask工作流,并且我们已排除任何授权交互,以提供额外的数据见解。 @Uniswap @JumperExchange @eulerfinance目前占以太坊上所有EIP-7702流量的95%,因为它们是早期集成者。 🔗 查看实时EIP-7702采用指标: h/t @FrankResearcher @emparedad0
24.86K