Dynamicznie zmieniające się środowisko bezpieczeństwa kryptowalut nieustannie staje w obliczu wyzwań ze strony coraz bardziej zaawansowanych cyberzagrożeń. Niedawny incydent, obejmujący wykorzystanie nowatorskiej funkcjonalności Ethereum Improvement Proposal (EIP-7702) w połączeniu ze skompromitowanym kluczem prywatnym, doprowadził do kradzieży tokenów WLFI z portfela MetaMask. To zdarzenie podkreśla krytyczne luki, które mogą pojawić się nawet w wyniku zaawansowanych usprawnień protokołów, jeśli nie idą w parze ze szczegółowymi zabezpieczeniami po stronie użytkownika i solidnymi środkami ochrony na poziomie platformy.
- Kradzież tokenów WLFI z portfela MetaMask poszkodowanego uczestnika prywatnej sprzedaży.
- Wykorzystanie nowatorskiej funkcji EIP-7702 w połączeniu ze skompromitowanym kluczem prywatnym.
- Szybkie, zautomatyzowane wypłaty środków oraz przechwytywanie Ethereum przeznaczonego na opłaty transakcyjne.
- Analiza incydentu przeprowadzona przez firmę SlowMist, potwierdzająca wektor ataku.
- Podkreślenie znaczenia rygorystycznych praktyk bezpieczeństwa użytkowników i deweloperów.
Incydent i Analiza Techniczna
Opis Zdarzenia
Ofiara, uczestnik prywatnej sprzedaży tokenów WLFI firmy World Liberty Financial, zgłosiła kompromitację swoich aktywów cyfrowych. Według jej relacji na X (dawniej Twitter), tokeny zniknęły z portfela MetaMask wkrótce po wpłaceniu niewielkiej ilości Ethereum na adres, które zostało natychmiast przejęte przez atakujących. Ten szybki, zautomatyzowany mechanizm wypłaty wskazywał na wstępnie skonfigurowany exploit.
Mechanizm Ataku EIP-7702
Firma SlowMist, zajmująca się bezpieczeństwem blockchain, przeanalizowała incydent, potwierdzając, że sprawcy wykorzystali znany wektor ataku, bazujący na możliwościach kontraktu delegowanego EIP-7702. Rdzeń exploitu wynikał z początkowego skompromitowania prywatnego klucza użytkownika, co pozwoliło atakującym programistycznie wstawić delegowany kontrakt do ustawień portfela. Ta złośliwa konfiguracja umożliwiła nie tylko bezpośrednią wypłatę tokenów WLFI, ale także późniejsze przechwycenie dowolnego przychodzącego Ethereum przeznaczonego na pokrycie opłat transakcyjnych (gas fees), skutecznie zamieniając portfel ofiary w kanał dla atakujących.
Mechanizm techniczny stojący za tym konkretnym exploitem EIP-7702 jest podstępny. Po uzyskaniu klucza prywatnego hakerzy modyfikują delegowany adres portfela. W konsekwencji, każda interakcja z innymi smart kontraktami, która wymaga wydatku na gaz, automatycznie uruchamia transfer Ethereum ze skompromitowanego konta na wskazany portfel atakującego. Tworzy to pułapkę, w której ofiary, próbując odzyskać lub przenieść środki, nieumyślnie dostarczają atakującym niezbędne opłaty transakcyjne do kontynuowania ich nielegalnych działań lub dalszego opróżniania portfela.
Rola i Potencjalne Zagrożenia EIP-7702
Rola EIP-7702
EIP-7702, innowacja dla warstwy wykonawczej Ethereum zaproponowana przez Vitalika Buterina, została zaprojektowana w celu wprowadzenia nowych funkcjonalności, które pozwalają standardowym portfelom użytkowników tymczasowo przyjmować możliwości typowo związane z inteligentnymi kontami (smart accounts). Opiera się to na udoskonaleniach, takich jak EIP-4844, mając na celu oferowanie większej elastyczności i programowalności dla kont użytkowników. Chociaż intencją propozycji jest poprawa doświadczenia użytkownika i rozszerzenie użyteczności podstawowych portfeli, ten incydent podkreśla krytyczny wymiar bezpieczeństwa: potężne funkcje EIP-7702, w połączeniu ze skompromitowanym kluczem prywatnym, mogą zostać wykorzystane do wyrafinowanej i zautomatyzowanej eksfiltracji aktywów.
Wnioski i Zalecenia Bezpieczeństwa
Ten incydent stanowi wyraźne przypomnienie o ciągłym wyścigu zbrojeń w dziedzinie bezpieczeństwa aktywów cyfrowych. W miarę jak ekosystem Ethereum integruje zaawansowane funkcje, odpowiedzialność spoczywa zarówno na deweloperach, aby przewidywać potencjalne wektory niewłaściwego użycia, jak i na użytkownikach, aby utrzymywać rygorystyczne praktyki bezpieczeństwa, w tym absolutne zabezpieczenie kluczy prywatnych. Szersze implikacje dla integralności przestrzeni blockchain są znaczące, zwłaszcza w miarę integrowania nowych tokenów, takich jak WLFI firmy World Liberty Financial, którego uruchomienie na Ethereum mainnet zaplanowano na 23 sierpnia 2025 r., w ekosystem.
Jarosław Kosmaty to człowiek, który przypadkowo trafił do świata mediów, bo zamiast biegać za kryptowalutami, postanowił je opisywać – i zrobił to z takim zapałem, że nikt już nie wyobraża sobie BitGate.pl bez jego humorystycznych komentarzy. Urodzony w małej wiosce, gdzie jedyną kryptowalutą były ziarna kukurydzy, Jarosław od najmłodszych lat miał smykałkę do wyszukiwania okazji (i żartów) tam, gdzie inni widzieli jedynie szarość dnia codziennego.