Ethereum Yangiliklari Bugun: EIP-7702 Kuchining Million Dollarlik Phishing Mojarosida Qurolga Aylanishi

Ethereum’ning EIP-7702 mexanizmidan foydalanilgan so‘nggi fishing hujumi natijasida bir investor 1,54 million dollar miqdorida katta yo‘qotishga uchradi va bu protokol yangilanishining xavfsizlikka ta’siri borasida jiddiy xavotirlarni keltirib chiqardi. Ushbu hujum, oddiy Uniswap almashuvlari sifatida ko‘rsatilgan zararli tranzaksiyalar to‘plamidan iborat bo‘lib, EIP-7702’ning joriy etilishi bilan bog‘liq xavflarni ko‘rsatadi. Ushbu funksiya may oyidagi Pectra hard fork doirasida joriy etilgan bo‘lib, tashqi boshqariladigan akkauntlarga (EOA) vaqtinchalik smart-kontraktlar kabi harakat qilish imkonini beradi va foydalanuvchilarga bir nechta tranzaksiyalarni bitta operatsiyaga birlashtirishga imkon beradi. Biroq, bu imkoniyat kiberjinoyatchilar tomonidan ekspluatatsiya qilinib, foydalanuvchilarning raqamli aktivlarini o‘g‘irlash uchun qurolga aylantirildi [1].

Wintermute kabi xavfsizlik mutaxassislari jamoalari ilgari EIP-7702 delegatsiyalari keng ko‘lamda ekspluatatsiya qilinayotganini ogohlantirgan edi, va bunday delegatsiyalarning 90% dan ortig‘i zararli kontraktlar bilan bog‘liq ekani aytilgan. Bu kontraktlar, ko‘pincha oddiy nusxa-ko‘chirish skriptlari bo‘lib, zaif hamyonlarni aniqlaydi va tasdiqlashdan so‘ng avtomatik tarzda aktivlarni o‘zlashtiradi. 1,54 million dollar yo‘qotilgan fishing sxemasi haqiqiy DeFi platformalarini taqlid qiluvchi soxta interfeys orqali amalga oshirilgan bo‘lib, jabrlanuvchini oddiy tranzaksiyani tasdiqlayotgandek aldadi. Aslida esa, ushbu tasdiqlash yashirin transferlarni ochib berdi va hujumchilarga hamyonni deyarli bir zumda bo‘shatib olish imkonini berdi [2].

EIP-7702 tomonidan kiritilgan zaifliklar bir nechta hodisalarda namoyon bo‘ldi. Yoz boshida yana bir investor shunga o‘xshash sxema orqali 1 million dollar qiymatidagi token va NFT’lardan ayrildi. Iyun oyida esa boshqa bir jabrlanuvchi 66 000 dollar yo‘qotdi. Ushbu holatlar yangi Ethereum standarti yordamida amalga oshirilayotgan fishing hujumlarining o‘sib borayotgan tendensiyasini ko‘rsatadi. Ushbu hodisalarning umumiy jihati — ishonchli DeFi platformalarini taqlid qiluvchi aldovchi interfeyslardan foydalanishdir. Foydalanuvchilar tranzaksiyani tasdiqlaganidan so‘ng, hujumchilar hamyon tarkibiga kirish huquqini qo‘lga kiritadi, ko‘pincha foydalanuvchi berilgan ruxsatlarning ko‘lamini anglamagan holda [3].

Scam Sniffer kabi xavfsizlik tadqiqotchilari va firibgarlikka qarshi xizmatlar foydalanuvchilarga batch-tranzaksiyalarni tasdiqlashda yuqori ehtiyotkorlikni tavsiya qilmoqda. Muhim ogohlantirish belgilariga cheksiz token tasdiqlash so‘rovlari, EIP-7702 doirasidagi kontrakt yangilanishlari va kutilgan natijaga mos kelmaydigan tranzaksiya simulyatsiyalari kiradi. Mutaxassislar ko‘plab EIP-7702 tranzaksiyalarining xavfli tomoni ularning qonuniy ko‘rinishida ekanini, bu esa tajribasiz foydalanuvchilar uchun ayniqsa xavfli bo‘lishini ta’kidlamoqda. Ular domen nomlarini tekshirish, shoshilinch tasdiqlashlardan saqlanish va faqat ishonchli platformalardan foydalanishni tavsiya etadi, bu kabi firibgarlik qurboni bo‘lish xavfini kamaytirish uchun [4].

Ethereum Foundation xavfsizlik hamjamiyatining davomli xavotirlariga qaramay, EIP-7702 bilan bog‘liq tahdidlarni bartaraf etish uchun hali aniq qarshi choralarni joriy qilgani yo‘q. Tahlilchilar foydalanuvchilar batch-tranzaksiyalarni qanday boshqarishi bo‘yicha aniqroq ko‘rsatmalar va hamyon interfeyslarida xavflarni yanada ravshanroq ko‘rsatish uchun yangilanishlarni taklif qilmoqda. EIP-7702’dan foydalanish ortib borar ekan, yanada murakkab hujumlar ehtimoli ham oshadi. Ushbu hodisa kripto tahdidlarining rivojlanayotgan tabiatini va keng ko‘lamli yo‘qotishlarning oldini olishda foydalanuvchi savodxonligining ahamiyatini yana bir bor eslatadi.