Sebuah serangan phishing telah menyebabkan seorang investor cryptocurrency kehilangan hampir 1 juta USD setelah secara tidak sengaja menandatangani serangkaian transaksi berbahaya yang disamarkan sebagai pertukaran di Uniswap, menurut laporan dari perusahaan keamanan blockchain Scam Sniffer.
Pada 22 Agustus, Yu Xiang – pendiri SlowMist – mengungkapkan bahwa insiden tersebut terkait dengan 5 jenis token yang dicuri melalui transaksi penambangan mekanisme EIP-7702 baru dari Ethereum.
Ia menjelaskan: “Dari sudut pandang pengguna yang diserang, prosesnya berlangsung sebagai berikut: mereka membuka sebuah situs phishing, jendela tanda tangan dompet muncul, mereka mengklik konfirmasi dan hanya dengan satu tindakan itu, seluruh aset berharga dalam dompet menghilang seketika.”
EIP-7702 dan risiko baru
EIP-7702 diperkenalkan dalam pembaruan Pectra untuk meningkatkan pengalaman pengguna Ethereum. Fitur ini memungkinkan dompet berfungsi sebagai kontrak pintar sementara, memungkinkan banyak transaksi dilakukan sekaligus, memungkinkan pembiayaan biaya gas atau menetapkan batas pengeluaran hanya dalam satu langkah.
Secara prinsip, hak kuasa ini dapat dicabut dan hanya berlaku dalam jaringan tertentu. Namun, dalam praktiknya, penyerang telah menemukan cara untuk memanfaatkan mekanisme ini.
Peringatan dari komunitas keamanan
Pencipta pasar Wintermute memperingatkan bahwa penerapan standar ini sedang dieksploitasi secara luas. Analisis bulan Juni oleh perusahaan menunjukkan bahwa lebih dari 90% otorisasi EIP-7702 terkait dengan kontrak berbahaya. Banyak kontrak hanya merupakan kode salin-tempel sederhana, secara otomatis memindai dan menarik aset dari dompet yang rentan terhadap serangan.
Scam Sniffer dan Yu Xiang menyarankan pengguna untuk berhati-hati sebelum menandatangani permintaan dari dompet. Langkah-langkah pencegahan termasuk: memeriksa dengan cermat nama domain, tidak mengonfirmasi dengan terburu-buru, dan menolak tanda tangan yang tidak jelas atau terlalu luas.
Beberapa tanda peringatan meliputi: permintaan untuk memberikan hak pengeluaran tanpa batas, peningkatan kontrak sesuai EIP-7702, atau mensimulasikan transaksi yang tidak sesuai harapan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Investor kehilangan 1 juta USD hanya dalam 1 klik di Uniswap palsu
Sebuah serangan phishing telah menyebabkan seorang investor cryptocurrency kehilangan hampir 1 juta USD setelah secara tidak sengaja menandatangani serangkaian transaksi berbahaya yang disamarkan sebagai pertukaran di Uniswap, menurut laporan dari perusahaan keamanan blockchain Scam Sniffer.
Pada 22 Agustus, Yu Xiang – pendiri SlowMist – mengungkapkan bahwa insiden tersebut terkait dengan 5 jenis token yang dicuri melalui transaksi penambangan mekanisme EIP-7702 baru dari Ethereum.
Ia menjelaskan: “Dari sudut pandang pengguna yang diserang, prosesnya berlangsung sebagai berikut: mereka membuka sebuah situs phishing, jendela tanda tangan dompet muncul, mereka mengklik konfirmasi dan hanya dengan satu tindakan itu, seluruh aset berharga dalam dompet menghilang seketika.”
EIP-7702 dan risiko baru
EIP-7702 diperkenalkan dalam pembaruan Pectra untuk meningkatkan pengalaman pengguna Ethereum. Fitur ini memungkinkan dompet berfungsi sebagai kontrak pintar sementara, memungkinkan banyak transaksi dilakukan sekaligus, memungkinkan pembiayaan biaya gas atau menetapkan batas pengeluaran hanya dalam satu langkah.
Secara prinsip, hak kuasa ini dapat dicabut dan hanya berlaku dalam jaringan tertentu. Namun, dalam praktiknya, penyerang telah menemukan cara untuk memanfaatkan mekanisme ini.
Peringatan dari komunitas keamanan
Pencipta pasar Wintermute memperingatkan bahwa penerapan standar ini sedang dieksploitasi secara luas. Analisis bulan Juni oleh perusahaan menunjukkan bahwa lebih dari 90% otorisasi EIP-7702 terkait dengan kontrak berbahaya. Banyak kontrak hanya merupakan kode salin-tempel sederhana, secara otomatis memindai dan menarik aset dari dompet yang rentan terhadap serangan.
Scam Sniffer dan Yu Xiang menyarankan pengguna untuk berhati-hati sebelum menandatangani permintaan dari dompet. Langkah-langkah pencegahan termasuk: memeriksa dengan cermat nama domain, tidak mengonfirmasi dengan terburu-buru, dan menolak tanda tangan yang tidak jelas atau terlalu luas.
Beberapa tanda peringatan meliputi: permintaan untuk memberikan hak pengeluaran tanpa batas, peningkatan kontrak sesuai EIP-7702, atau mensimulasikan transaksi yang tidak sesuai harapan.
Thạch Sanh