Vào ngày 2 tháng 6, một công ty chuyên tạo lập thị trường tiền điện tử đã phát triển đoạn mã nhằm cảnh báo người dùng khi họ tiếp xúc với hợp đồng thông minh độc hại mang tên “CrimeEnjoyor” trên mạng Ethereum. Cảnh báo này nhấn mạnh rằng các tổ chức tội phạm đang lợi dụng các hợp đồng độc hại để tự động thực thi các giao dịch ETH, nhằm rút tiền từ ví người dùng. Những người sử dụng nền tảng Ethereum được cảnh báo không gửi ETH tới các hợp đồng này để tránh nguy cơ bị mất tiền. Mã bytecode của máy ảo Ethereum đã được chuyển đổi sang ngôn ngữ Solidity dễ hiểu và công khai xác minh nhằm minh bạch hóa vấn đề này.
Trước đó, sau khi nâng cấp Pectra với triển khai EIP-7702 trên Ethereum, nhiều hợp đồng độc hại mang tên “CrimeEnjoyor” đã xuất hiện và tận dụng cơ chế cấp phép ví cho hợp đồng thông minh. Chúng thực hiện quét và cố gắng chuyển tiền từ các địa chỉ ví được cấp phép, tuy nhiên cho đến nay chưa một lần thành công trong việc chiếm đoạt tài sản. Hơn 97% các quyền truy cập EIP-7702 đều trỏ tới cùng một đoạn code sao chép, bị nghi ngờ là công cụ tự động đánh cắp coin. Kẻ tấn công đã đầu tư khoảng 2,88 ETH vào việc cấp phép cho khoảng 79.000 địa chỉ, trong đó một địa chỉ đã xử lý hơn 52.000 lượt cấp phép.
Dù phương thức tấn công chưa đạt hiệu quả thực tế, sự cố này đã lộ ra những lỗ hổng tiềm tàng trong cơ chế bảo mật của EIP-7702 trên mạng Ethereum. Vấn đề đặt ra không chỉ là sự rủi ro mất tài sản trực tiếp, mà còn cảnh báo về những kỹ thuật khai thác quyền hạn phức tạp qua các hợp đồng thông minh. Điều này đòi hỏi các nhà phát triển cần gia tăng kiểm soát và tinh chỉnh nhằm giảm thiểu các rủi ro bảo mật trong hệ sinh thái tiền điện tử, đặc biệt trên những bản nâng cấp giao thức đòi hỏi sự thận trọng tối đa.
