Actualización Pectra de Ethereum explotada por Bots drenando Billeteras: Informe | BSCN (fka BSC News)

La reciente actualización "Pectra" de Ethereum introdujo varias características para mejorar la forma en que los usuarios interactúan con la red. Uno de los cambios más comentados fue EIP-7702, una propuesta respaldada por el cofundador de Ethereum Vitalik Buterin.

Esta función permite que las billeteras se comporten temporalmente como contratos inteligentes, habilitando transacciones por lotes, patrocinio de gas, autenticación social y límites de gasto.

Sin embargo, según Wintermute, una firma líder en comercio de criptomonedas, esta nueva actualización ha abierto la puerta a una peligrosa ola de ataques de barrido automatizados, drenando las billeteras de usuarios desprevenidos. Y estos ataques se están propagando rápidamente.

Una característica con buenas intenciones

EIP-7702 estaba destinado a hacer que Ethereum fuera más fácil de usar.

Los usuarios podrían firmar una sola transacción para manejar varias acciones a la vez, algo que anteriormente solo era posible a través de contratos inteligentes. Por ejemplo, un usuario podría aprobar un token, intercambiarlo y enviar la salida a otra billetera en un solo paso.

También ofreció mejoras en la calidad de vida como patrocinar el gas para otra persona, o utilizar sistemas de inicio de sesión social para autenticar billeteras, facilitando la interacción de los usuarios comunes con Ethereum sin tener que lidiar con frases semilla.

Pero lo que se diseñó para ayudar a los usuarios se ha convertido rápidamente en un arma por parte de actores malintencionados.

El Auge de CrimeEnjoyor: Un Vector de Ataque de Copiar y Pegar

Wintermute publicó recientemente un análisis que muestra cómo se está utilizando EIP-7702 por los bots en lo que se llaman ataques de barrido.

¿La herramienta elegida? Un contrato ampliamente duplicado que Wintermute apodó “CrimeEnjoyor.”

Así es como funciona:

Los criminales despliegan contratos maliciosos con un bytecode simple, copiado y pegado en miles de instancias. Estos contratos están diseñados para barrer automáticamente fondos de billeteras cuyos claves privadas han sido comprometidas. Una vez que estas billeteras reciben ETH, los contratos envían instantáneamente los fondos a la dirección del atacante.

La investigación de Wintermute, disponible a través de un panel de Dune, muestra que más del 97% de las delegaciones de EIP-7702 se han vinculado a estos contratos idénticos.

“El contrato CrimeEnjoyor es corto, simple y ampliamente reutilizado,” señaló Wintermute en X. “Este código de bytes copiado y pegado ahora representa la mayoría de todas las delegaciones EIP-7702. Es divertido, sombrío y fascinante al mismo tiempo.”

No es solo un problema de contrato inteligente

Mientras que EIP-7702 es el vehículo, la causa raíz sigue siendo claves privadas comprometidas.

Wintermute y otros expertos en seguridad enfatizan que EIP-7702 no es inherentemente peligroso. Más bien, facilita y acelera el robo de fondos una vez que una billetera está comprometida.

Como señaló la experta en seguridad Taylor Monahan:

"En realidad, no es un problema de 7702. Es el mismo problema que ha tenido las criptomonedas desde el primer día: los usuarios finales luchan por asegurar sus claves privadas."

Se informa que el EIP-7702 hizo que fuera más eficiente para los atacantes limpiar billeteras vulnerables.

Pérdidas Reales: Un Ejemplo de $146,550

El 23 de mayo, un usuario firmó sin saber varias transacciones en lote maliciosas usando EIP-7702. ¿El resultado? Una pérdida de $146,550, según la firma de seguridad blockchain Scam Sniffer.

Estas transacciones maliciosas estaban vinculadas a Inferno Drainer, un proveedor de estafa como servicio bien conocido que ha estado activo en el espacio cripto durante años.

Una Verdad Incómoda para el Futuro de Ethereum

Wintermute llevó las cosas un paso más allá al desensamblar el bytecode malicioso en código Solidity legible por humanos. Esto facilitó la identificación y etiquetado de contratos maliciosos. Incluso verificaron el código públicamente para crear conciencia.

El código en sí contiene una advertencia en texto plano:

“Este contrato es utilizado por los chicos malos para barrer automáticamente todo el ETH entrante. NO ENVÍES NINGÚN ETH.”

Pero a pesar de la advertencia, el contrato sigue siendo efectivo. Los usuarios que no entienden lo que están firmando corren un grave riesgo, especialmente al utilizar dApps o herramientas desconocidas que les piden delegar el control bajo EIP-7702.

Contrato CrimEnjoyer con advertencia (Imagen: Wintermute)Otra firma de seguridad, SlowMist, confirmó la creciente amenaza. La firma instó a los proveedores de servicios de billetera a adaptarse rápidamente y apoyar las advertencias de delegación EIP-7702.

"Los proveedores de servicios de billetera deberían soportar rápidamente las transacciones EIP-7702 y, cuando los usuarios firmen delegaciones, deberían mostrar de manera prominente el contrato objetivo para reducir el riesgo de ataques de phishing," dijo SlowMist.

Las otras características de Pectra ahora están a la sombra

La actualización Pectra, que se activó el 7 de mayo en época 364032, también incluyó otros dos cambios importantes:

• EIP-7251: Elevó el límite de apuesta de validadores de 32 ETH a 2,048 ETH, mejorando la eficiencia para validadores institucionales.
• Mejoras en el rendimiento y la escalabilidad bajo el capó.

Pero debido a los abusos de EIP-7702, estas otras actualizaciones han sido en gran medida eclipsadas.

Hasta la fecha, se han ejecutado más de 12,329 transacciones EIP-7702, la mayoría vinculadas a delegaciones abusadas por bots limpiadores.

Entonces, ¿cuál es la solución?

Mientras que EIP-7702 en sí mismo es opcional y no obligatorio para transacciones básicas, la necesidad de educación, transparencia y mejoras en la seguridad a nivel de billetera es más urgente que nunca.

Los usuarios deben:

• Nunca firme transacciones desconocidas sin entender el contrato de destino.
• Utiliza billeteras que muestren toda la información del contrato antes de la confirmación.
• Trata cualquier solicitud de delegación con extrema precaución, especialmente cuando se agrupan con múltiples pasos.

Para los desarrolladores, Wintermute sugiere verificar contratos públicamente y facilitar la detección de patrones peligrosos. La firma cree que etiquetar la actividad maliciosa de manera más agresiva puede proteger a los nuevos usuarios y reducir los riesgos de phishing.