A atualização na rede Ethereum EIP-7702 tem sido utilizada por atacantes maliciosos para esvaziar carteiras, segundo análise da empresa de trading cripto Wintermute.
O EIP-7702, introduzido no hard fork “Pectra”, é uma proposta de abstração de contas idealizada por Vitalik Buterin. Ela veio para tornar a experiência do usuário mais simples, permitindo que carteiras se comportem temporariamente como contratos inteligentes.
A funcionalidade possibilita, por exemplo, o patrocínio de taxas de gas, autenticação via passkey ou redes sociais, limites de gastos e execução de várias ações em uma única transação.
Apesar disso, a plataforma Dune apontou que 80% das delegações do EIP-7702 foram feitas para contratos com o mesmo código básico copiado e colado, batizado pela Wintermute como “CrimeEnjoyor”. O código automatiza o esvaziamento de carteiras com chaves comprometidas, enviando os fundos diretamente ao atacante que criou o contrato.
“O contrato CrimeEnjoyor é curto, simples e muito reutilizado. Este código em bytecode copiado agora representa a maioria das delegações do EIP-7702. É algo curioso, sombrio e fascinante ao mesmo tempo”, afirmou a Wintermute em publicação na rede social X.
Entendendo como o golpe funciona de forma simples
- O usuário tem a chave da carteira vazada: isso pode acontecer por phishing, malware ou exposição descuidada.
- O atacante cria um contrato malicioso (CrimeEnjoyor): código padrão, simples e reutilizado, projetado para “varrer” os fundos da carteira assim que tiver permissão.
- A vítima autoriza uma delegação via EIP-7702: muitas vezes sem perceber, ela permite que o contrato malicioso execute transferências por ela.
- O contrato executa uma transação automatizada: em segundos, ele transfere todos os fundos para o endereço do atacante.
Como o EIP-7702 permite que carteiras ajam como contratos inteligentes, isso abre espaço para automações — tanto legítimas quanto maliciosas. O problema não está na ferramenta, mas na forma como criminosos se aproveitam da falta de atenção dos usuários.
A empresa de segurança Scam Sniffer identificou uma carteira que perdeu quase US$ 150 mil em uma transação maliciosa em lote, ligada ao serviço de scam Inferno Drainer, conhecido na comunidade cripto por facilitar golpes.
A SlowMist, outra empresa de segurança blockchain, também alertou para os riscos da adoção do EIP-7702. Em análise, ela recomendou que os provedores de carteiras passem a suportar o novo tipo de transação e exibam claramente o contrato de destino ao usuário para minimizar ataques de phishing.
“Como previmos, as quadrilhas de phishing já estão aproveitando a novidade. Todos devem estar atentos para que seus ativos não sejam levados”, afirmou Yu Xian, fundador da SlowMist, no X.
Leia mais: Calendário Cripto 02/06 a 06/06: Principais eventos desta semana
