-
イーサリアムの最近のEIP-7702アップグレードは、Pectraアップデートの一環として、ウォレット機能を強化しましたが、意図しない形で自動スイーパー攻撃の急増を促し、重要なセキュリティ上の懸念を引き起こしています。
-
このアップグレードはアカウント抽象化を通じてユーザー体験を向上させますが、攻撃者は侵害されたプライベートキーを利用して、迅速にウォレットを空にしています。
-
WintermuteとScam Snifferによれば、“CrimeEnjoyor”という悪意のある契約がこれらの委任の80%以上を占めており、単一の取引で150,000ドル近くの損失を引き起こしています。
イーサリアムのEIP-7702はウォレットの使いやすさを向上させますが、スイーパー攻撃による悪用を加速させており、プライベートキーのセキュリティ強化とよりスマートなウォレットデザインの緊急性を浮き彫りにしています。
イーサリアムのEIP-7702: 革新と悪用リスクの交差点
イーサリアムのPectraアップグレードは、ウォレットを一時的にスマートコントラクトに変換することを目的としたEIP-7702という機能を導入しました。この機能は、トランザクションのバッチ処理、ガス料金のスポンサーシップ、支出制御の強化などの高度な機能を可能にします。ビタリック・ブテリンによって提案されたこのアカウント抽象化メカニズムは、ユーザーとのインタラクションを簡素化し、ウォレットのセキュリティを向上させることを目的としています。しかし、これらの利点にもかかわらず、EIP-7702は意図せず攻撃者に新たな機会を提供しています。この機能の柔軟性は、悪意のある行為者によって武器化され、侵害されたウォレットを前例のない速さと効率で利用し、自動スイーパープログラムを利用して資金を奪っています。
出典: X
自動スイーパー攻撃と「CrimeEnjoyor」契約
Wintermuteのセキュリティ分析によると、「CrimeEnjoyor」という一つの悪意のある契約がEIP-7702委任の80%以上を占めています。この契約のシンプルかつ非常に効果的なコードは、通常フィッシングやプライベートキーの漏洩を通じて取得した侵害されたウォレットに自動でアクセスし、攻撃者が制御するアドレスに瞬時に資産を移動させることを可能にします。この規模での自動化は、著しい経済的損失を引き起こしており、Scam Snifferによって記録されたある事件では、悪名高いInferno Drainerサービスに関連する単一のバッチ取引で150,000ドル近くが奪われています。このアップグレードによって促進された広範な悪用を強調します。
出典: X
根本的なセキュリティ課題:プライベートキーは依然として弱点
EIP-7702に注目が集まっていますが、本質的な脆弱性はアップグレード自体にあるのではなく、盗まれたまたは漏洩したプライベートキーの持続的な問題にあります。この新機能は、ウォレットへのアクセスが侵害された後に攻撃者がより効率的にトランザクションを実行することを可能にすることで悪用を加速させます。SlowMistなどのセキュリティ企業は、ウォレットプロバイダーが契約インタラクションに関する透明性を高め、ユーザー保護を強化する必要があると強調しています。トランザクションの署名プロンプトを明確にし、強固なユーザー教育を含むウォレットデザインの改善が、さらなる損失を防ぐために重要です。
出典: X
イーサリアムが進化し続ける中、よりスマートなウォレットアーキテクチャと強化されたセキュリティプロトコルの優先順位が不可欠です。最も革新的な機能でさえ、基盤となるセキュリティ慣行が無視されると負担になる可能性があります。
結論
イーサリアムのEIP-7702アップグレードは、ブロックチェーン技術における革新とセキュリティの微妙なバランスを示しています。ウォレット機能とユーザー体験を大幅に向上させる一方で、プライベートキーが侵害された場合の悪用を加速します。進行中のスイーパー攻撃の波は、より良いユーザー教育や透明性のある契約インタラクションを含むウォレットセキュリティ対策の緊急性を浮き彫りにしています。今後、イーサリアムの関係者は、進化する脅威からエコシステムを保護するために、これらのコア防御を強化することに焦点を当てる必要があります。
