以太坊 Pectra 升級引入的 EIP-7702 帳戶抽象機制首次遭大規模實戰利用:攻擊者偽造 DeFi 介 […] 〈EIP-7702 首次大規模實戰失利:QNT、ETH 遭盜,Pectra 帳戶抽象機制淪釣魚溫床〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。以太坊 Pectra 升級引入的 EIP-7702 帳戶抽象機制首次遭大規模實戰利用:攻擊者偽造 DeFi 介 […] 〈EIP-7702 首次大規模實戰失利:QNT、ETH 遭盜,Pectra 帳戶抽象機制淪釣魚溫床〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
EIP-7702 首次大規模實戰失利:QNT、ETH 遭盜,Pectra 帳戶抽象機制淪釣魚溫床
如需對本內容提供反饋或相關疑問,請通過郵箱 crypto.news@mexc.com 聯絡我們。
以太坊 Pectra 升級引入的 EIP-7702 帳戶抽象機制首次遭大規模實戰利用:攻擊者偽造 DeFi 介面,誘騙用戶簽署授權委派交易,靜默清空 QNT、ETH 及多項代幣,安全機構 SlowMist 已識別 Inferno Drainer 為主要攻擊組,超過 15,000 個錢包受波及。 (前情提要:以太坊Pectra升級「駭客爽翻」,Wintermute警告:EIP-7702使大量合約部署自動化攻擊) (背景補充:保障以太坊 EIP-7702 升級:一種安全 EOA 到智慧錢包過渡的代理模式) 從預警到實戰,EIP-7702 走過了一條比以太坊社群預期更短的路。 以太坊 Pectra 升級於 2025 年 5 月 7 日正式上線主網,其中 EIP-7702 被視為帳戶抽象(Account Abstraction)的重要里程碑——它允許外部擁有帳戶(EOA)透過簽署授權訊息,暫時將執行權委派給智慧合約。設計初衷是讓普通用戶也能享有批次交易、Gas 代付等進階功能。然而,4 月 29 日金色財經報導指出,攻擊者已實際利用這套機制,盜取包括 QNT(Quant)、ETH 在內的多項代幣,聲明協議級漏洞的首次大規模實戰。 一個簽名,清空整個錢包 攻擊流程並不複雜,卻極難被普通用戶察覺。攻擊者首先搭建仿冒 Uniswap、MetaMask 等知名 DeFi 平台的釣魚介面,誘導用戶簽署看似正常的「帳戶升級」或「批次授權」交易。 問題出在 EIP-7702 的授權 tuple 設計:一旦用戶簽署,帳戶執行權即委派給攻擊者控制的惡意合約。攻擊者隨後呼叫 execute() 函式,一次性批次執行多筆代幣轉移與 NFT 的 setApprovalForAll 操作,整個過程在鏈上完成,不可撤銷。 更危險的是,EIP-7702 允許 chain_id=0 的跨鏈簽名,意味著同一份釣魚授權可在所有 EVM 相容鏈上重放——受害者損失不止一條鏈。連硬體錢包也難以倖免:問題在於「用戶簽了什麼」,而非私鑰是否安全。 數字說話:損失規模持續擴大 自 Pectra 升級後,EIP-7702 釣魚攻擊的損失數字一路攀升: 單一釣魚事件最大損失:$1.54M USD(一名用戶簽署批次交易,含多項代幣轉移與 NFT 授權操作) 2025 年 8 月單月累計損失:$12M,超過 15,000 個錢包受害 2026 年 1 月 IPOR Fusion PlasmaVault 遭利用:損失達 $267K–$336K 逾 97% 的 EIP-7702 授權指向惡意 sweeper 合約 區塊鏈安全機構 SlowMist 創辦人餘弦指出,Inferno Drainer 與 PinkDrainer 等釣魚集團已將 EIP-7702 整合到攻擊工具鏈中,偽裝成官方平台批次操作,攻擊效率遠高於傳統釣魚手法。 Wintermute 預警成真 值得一提的是,做市商 Wintermute 早在 Pectra 升級初期便公開預警:EIP-7702 的授權機制讓大量惡意合約部署自動化成為可能,攻擊者能快速複製、部署相同的釣魚合約,壓低攻擊成本。動區曾報導這份預警,然而事態發展仍如 Wintermute 所料。 分析數據顯示,超過 80% 的惡意 EIP-7702 授權使用完全相同的複製貼上合約——攻擊者根本不需要高深技術,只要量產釣魚頁面即可。 如何自保? GoPlus Security 呼籲用戶:只透過官方錢包介面使用 EIP-7702 相關功能;任何外部連結、電郵或社群貼文要求「升級智慧帳戶」一律視為詐騙。簽署任何授權前,務必確認委派物件是否為已知安全合約地址,遇到不明 delegator 請求時立即中止。 SlowMist 亦建議用戶定期使用 revoke.cash 等工具,撤銷不明的 EIP-7702 授權,避免帳戶持續暴露於風險中。 協議創新與安全的永恆張力 EIP-7702 的推出,是以太坊帳戶抽象路線圖的關鍵一步,技術上確實為用戶體驗帶來巨大改善空間。但從預警到實戰利用,不過短短數月,這場攻擊浪潮正在重新考驗一個老問題:協議設計的靈活性,與終端用戶的安全意識,永遠存在差距。在這個差距被填平之前,每一個新功能都可能成為下一個釣魚入口。 相關報導 以太坊Pectra升級「駭客爽翻」,Wintermute警告:EIP-7702使大量合約部署自動化攻擊 以太坊 Pectra 升級敲定 4/30 上線主網,能成 ETH 反彈強心針嗎? 以太坊「Pectra 升級」預定 2025 Q1推出,引進帳戶抽象轉換 EIP-7702 分析Messari 十萬字年度報告(二):ETH 跑輸 BTC,是邊緣化還是定價困境? 以太坊 Pectra 升級確定延後!第三個測試網 Hooli 將上線,最快4月底主網升級〈EIP-7702 首次大規模實戰失利:QNT、ETH 遭盜,Pectra 帳戶抽象機制淪釣魚溫床〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
市場機遇
Quant實時價格 (QNT)
$69.88
$69.88$69.88
USD
Quant (QNT) 實時價格圖表
免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。
您可能也會喜歡
Chiliz 擴展至 Base,迎接全球體育熱潮
Chiliz 宣布與 Base 區塊鏈網絡進行新的整合,為主要國際球隊的支持者擴展了粉絲代幣交易和互動的渠道
分享
CoinTrust2026/04/29 12:17
免費比特幣來了!Tether 宣布啟動比特幣水龍頭,下載錢包發推即可獲得空投 BTC
Tether 4/29 宣布 BTC 水龍頭活動,用戶下載 tether.wallet、在推文回覆標記帳號,即 […] 〈免費比特幣來了!Tether 宣布啟動比特幣水龍頭,下載錢包發推即可獲得空投 BTC〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
分享
Blocktempo ZH2026/04/29 12:40
Polymarket 遭駭客 xorcat 入侵,30 萬筆記錄、漏洞工具全曝光,平台回應:本來就設計公開
預測市場龍頭 Polymarket 正在洽談 4 億美元融資、估值衝 150 億美元之際,威脅行為者 xorc […] 〈Polymarket 遭駭客 xorcat 入侵,30 萬筆記錄、漏洞工具全曝光,平台回應:本來就設計公開〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
分享
Blocktempo ZH2026/04/29 12:53
