Vừa qua, một báo cáo mới về tình hình an ninh mạng trên nền tảng Ethereum sau khi triển khai nâng cấp Pectra với EIP-7702 đã thu hút sự chú ý của cộng đồng tiền điện tử. Theo đó, một loại hợp đồng thông minh độc hại mang tên “CrimeEnjoyor” đã xuất hiện, lợi dụng cơ chế người dùng cấp quyền cho ví tiền điện tử thông qua smart contract nhằm quét và chuyển tiền một cách trái phép. Dù có số lượng lớn hợp đồng này, các hacker vẫn chưa nhận được lợi nhuận thực tế từ chiến dịch này.
Hơn 97% các quyền ủy quyền theo chuẩn EIP-7702 đều chỉ đến một đoạn mã giống hệt nhau, cho thấy dấu hiệu của một công cụ tấn công tự động dùng để đánh cắp tiền điện tử quy mô lớn. Kẻ tấn công đã đầu tư khoảng 2,88 ETH để tạo ra gần 79.000 địa chỉ ủy quyền, trong đó một địa chỉ lớn nhất đã xử lý hơn 52.000 quyền, minh chứng cho sự nghiêm trọng và quy mô của âm mưu này.
Dù phương thức tấn công chưa thành công, sự việc đã phơi bày những rủi ro an ninh tiềm ẩn trong chuẩn EIP-7702 sau nâng cấp. Các nhà phát triển và người dùng cần nâng cao cảnh giác, đồng thời đẩy mạnh việc rà soát và củng cố bảo mật trên các ví và hợp đồng thông minh để tránh tổn thất lớn hơn trong tương lai. Đây cũng là lời cảnh tỉnh quan trọng về việc không được chủ quan với các bản vá và nâng cấp giao thức dù chúng được xem là bước tiến công nghệ.
