イーサリアム最新ニュース：EIP-7702の強力な機能が数百万ドル規模のフィッシング詐欺で悪用

最近、EthereumのEIP-7702メカニズムを悪用したフィッシング攻撃により、投資家が驚くべき1.54 millionドルの損失を被り、プロトコルアップグレードのセキュリティ上の影響について重大な懸念が生じています。この攻撃は、通常のUniswapスワップに偽装された一連の悪意あるトランザクションを含み、5月のPectraハードフォークの一部として導入されたEIP-7702の実装に伴うリスクを浮き彫りにしています。このアップグレードは、外部所有アカウント（EOA）が一時的なスマートコントラクトのように振る舞うことを可能にし、ユーザーが複数のトランザクションを1つの操作にまとめることを可能にするものでした。しかし、その機能がサイバー犯罪者によって悪用され、無防備なユーザーからデジタル資産を奪う手段となっています[1]。

Wintermuteを含むセキュリティ専門家チームは、EIP-7702のデリゲーションが大規模に悪用されていると以前から警告しており、こうしたデリゲーションの90%以上が悪意あるコントラクトに関連していると報告されています。これらのコントラクトは、多くが単純なコピーペーストスクリプトで、脆弱なウォレットをスキャンし、承認されると自動的に資産を吸い上げます。1.54 millionドルを奪われたフィッシング詐欺は、正規のプラットフォームを模倣した偽の分散型金融（DeFi）インターフェースを用い、被害者に通常のトランザクションのように見せかけて承認させました。実際には、その承認によって隠された送金が解放され、攻撃者がほぼ即座にウォレットを空にすることができました[2]。

EIP-7702によってもたらされた脆弱性は、複数の事件で明らかになっています。今夏初めにも、別の投資家が同様の手口で1 millionドル相当のトークンとNFTを失いました。6月には、別の被害者が66,000ドルを失っています。これらの事例は、新しいEthereum標準を利用したフィッシング攻撃の増加傾向を示しています。これらの事件に共通するのは、信頼できるDeFiプラットフォームを模倣した偽のインターフェースが使われている点です。ユーザーがトランザクションを承認すると、攻撃者はウォレットの中身にアクセスできるようになり、多くの場合、ユーザーは付与した権限の範囲に気づいていません[3]。

Scam Snifferを含むセキュリティ研究者や詐欺対策サービスは、バッチトランザクションを承認する際には特に注意を払うようユーザーに呼びかけています。主な警告サインとしては、無制限のトークン承認の要求、EIP-7702によるコントラクトのアップグレード、期待と一致しないトランザクションシミュレーションなどが挙げられます。専門家は、多くのEIP-7702トランザクションの悪質性は正当なものに見える点にあり、特に経験の浅いユーザーにとって非常に危険であると強調しています。こうした詐欺の被害を防ぐため、ドメイン名の確認、急いで承認しないこと、信頼できるプラットフォームのみを利用することが推奨されています[4]。

Ethereum Foundationは、セキュリティコミュニティからの継続的な懸念にもかかわらず、EIP-7702関連の脅威に対処するための具体的な対策をまだ実施していません。アナリストは、ユーザーがバッチトランザクションをどのように扱うべきかについての明確なガイドラインや、リスクをより明確に示すためのウォレットインターフェースのアップデートを求めています。EIP-7702の利用が拡大するにつれ、より高度な攻撃が発生する可能性も高まっています。この事件は、暗号資産の脅威が進化し続けていること、そして大規模な損失を防ぐためにはユーザー教育が重要であることを改めて示しています。