币圈子(120BTC.COm)讯：从预警到实战，引入欧易交易所appProEIP-7702走过了一条比以太坊社群预期更短的太坊路。

以太坊Pectra升级于2025年5月7日正式上线主网，升级其中EIP-7702被视为账户抽象(Account Abstraction)的引入重要里程碑——它允许外部拥有账户(EOA)透过签署授权讯息，暂时将执行权委派给智能合约。太坊设计初衷是升级让普通用户也能享有批次交易、Gas代付等进阶功能。引入然而，太坊4月29日报导指出，升级攻击者已实际利用这套机制，引入盗取包括QNT(Quant)、太坊ETH在内的升级多项代币，声明协议级漏洞的引入欧易交易所appPro首次大规模实战。

一个签名，清空整个钱包

攻击流程并不复杂，却极难被普通用户察觉。攻击者首先搭建仿冒Uniswap、MetaMask等知名DeFi平台的钓鱼界面，诱导用户签署看似正常的「账户升级」或「批次授权」交易。

问题出在EIP-7702的授权tuple设计：一旦用户签署，账户执行权即委派给攻击者控制的恶意合约。攻击者随后呼叫execute()函式，一次性批次执行多笔代币转移与NFT的setApprovalForAll操作，整个过程在链上完成，不可撤销。

更危险的是，EIP-7702允许chain_id=0的跨链签名，意味着同一份钓鱼授权可在所有EVM相容链上重放——受害者损失不止一条链。连硬体钱包也难以幸免：问题在于「用户签了什么」，而非私钥是否安全。

数字说话：损失规模持续扩大

自Pectra升级后，EIP-7702钓鱼攻击的损失数字一路攀升：

• 单一钓鱼事件最大损失：$1.54M USD(一名用户签署批次交易，含多项代币转移与NFT授权操作)

• 2025年8月单月累计损失：$12M，超过15,000个钱包受害

• 2026年1月IPOR Fusion PlasmaVault遭利用：损失达$267K–$336K

• 逾97%的EIP-7702授权指向恶意sweeper合约

区块链安全机构Slow Mist创办人余弦指出，Inferno Drainer与Pink Drainer等钓鱼集团已将EIP-7702整合到攻击工具链中，伪装成官方平台批次操作，攻击效率远高于传统钓鱼手法。

Wintermute预警成真

值得一提的是，做市商Wintermute早在Pectra升级初期便公开预警：EIP-7702的授权机制让大量恶意合约部署自动化成为可能，攻击者能快速复制、部署相同的钓鱼合约，压低攻击成本。曾报导这份预警，然而事态发展仍如Wintermute所料。

分析数据显示，超过80%的恶意EIP-7702授权使用完全相同的复制贴上合约——攻击者根本不需要高深技术，只要量产钓鱼页面即可。

如何自保？

GoPlus Security呼吁用户：只透过官方钱包界面使用EIP-7702相关功能；任何外部链接、电邮或社群贴文要求「升级智能账户」一律视为诈骗。签署任何授权前，务必确认委派物件是否为已知安全合约地址，遇到不明delegator请求时立即中止。

Slow Mist亦建议用户定期使用revoke.cash等工具，撤销不明的EIP-7702授权，避免账户持续暴露于风险中。

协议创新与安全的永恒张力

EIP-7702的推出，是以太坊帐户抽象路线图的关键一步，技术上确实为用户体验带来巨大改善空间。但从预警到实战利用，不过短短数月，这场攻击浪潮正在重新考验一个老问题：协议设计的灵活性，与终端用户的安全意识，永远存在差距。在这个差距被填平之前，每一个新功能都可能成为下一个钓鱼入口。

Disclaimer: All text and images published on this site are adapted or collected from the Internet. We do not use them for any commercial purpose, and the copyright belongs to the original author. Since we cannot contact the copyright holders for some content, please contact us to delete it if it infringes or involves illegality. Please keep the original address for reprinting: http://cjkzx.com/html/93e3899868.html