أخبار الإيثيريوم: كيف يستغل المخترقون EIP-7702 لاستنزاف المحافظ

في 24 مايو، شهدت أخبار الإيثيريوم أن محفظة تم تمكينها حديثًا باستخدام EIP-7702 خسرت حوالي 150,000 دولار عندما خدع المحتالون المستخدم للموافقة على مجموعة خبيثة من التحويلات الرمزية.

تصاعدت هجمات التصيد الاحتيالي في العملات الرقمية. في أبريل 2025 وحده، استنزفت عمليات الاحتيال ما يقرب من 5.3 مليون دولار من 7,565 محفظة. والآن، يستفيد المهاجمون من أحدث ترقية Pectra للإيثيريوم – وتحديدًا EIP-7702 – لإفراغ حسابات المستخدمين .

ويحذر المحللون الأمنيون من أن هذا الاستغلال الجديد يُظهر مدى سرعة تكيف القراصنة مع ميزات المحفظة الذكية الجديدة لإيثريوم.

الإيثريوم EIP-7702 وترقية Pectra

EIP-7702 هي ميزة رئيسية في ترقية ”Pectra“ التي أطلقتها الإيثيريوم في مايو 2025 . إنها تتيح بشكل أساسي للمحافظ العادية (الحسابات المملوكة خارجيًا أو EOAs) العمل مؤقتًا مثل حسابات العقود الذكية أثناء المعاملة.

من الناحية الفنية، يمكن للمستخدم إرفاق مقتطفات صغيرة من كود العقد إلى عنوانه لمعاملة واحدة. يجلب هذا مزايا ”تجريد الحساب“ المتقدمة للمحافظ العادية: على سبيل المثال، يمكن للمستخدم الآن تجميع عدة تحويلات في معاملة واحدة، أو السماح لشخص آخر بكفالة رسوم الغاز الخاصة به، أو استخدام مخططات توقيع بديلة.

لقد طرح مزودو المحافظ مثل Ambire وTrust Wallet بالفعل دعم EIP-7702 على الإيثيريوم. وقد أشاد الرئيس التنفيذي لشركة أمباير بهذه المحفظة باعتبارها ”أكبر ترقية منفردة لتجربة المستخدم“ على الإيثيريوم، لأنها تفتح ميزات الحساب الذكي دون إجبار المستخدمين على إنشاء محافظ عقود جديدة.

ومع ذلك، حذّر خبراء الأمن من أن EIP-7702 يفتح أيضًا أسطحًا جديدة للهجوم. فمن خلال السماح للمحفظة بتشغيل كود مخصص، يمكن للمحتالين، نظرياً، أن يحزموا روتيناً كاملاً لاستنزاف المحفظة في خطوة موافقة واحدة.

وكما قال أحد المطورين، فإن EIP-7702 ”وفرت وسيلة جديدة لحملات التصيد الاحتيالي لإفراغ محافظ كاملة دفعة واحدة“. باختصار، يمكن للميزات التي تهدف إلى تحسين المرونة أن تأتي بنتائج عكسية إذا لم يكن المستخدمون حذرين للغاية.

أخبار الإيثيريوم عملية احتيال Inferno Drainer بقيمة 150 ألف دولار عبر EIP-7702

أصبح الخطر حقيقيًا في 24 مايو 2025. أفاد موقع Scam Sniffer – وهو منصة Web3 لمكافحة الاحتيال – أن محفظة MetaMask الخاصة بأحد المستخدمين، والتي تمت ترقيتها مؤخرًا إلى EIP-7702، قد استنزفت حوالي 146,551 دولارًا.

قامت شركة SlowMist لأمن البلوك تشين بتحليل القضية بسرعة وحددت الجاني على أنه Inferno Drainer، وهي عصابة تصيد احتيالي سيئة السمعة.

فبدلاً من اختطاف عنوان المحفظة أو سرقة العبارات الأولية، استفاد المهاجمون من نظام ”المفوض“ الجديد في ترقية EIP-7702 من الإيثيريوم وفقاً للتقارير الإخبارية. لقد أقنعوا المستخدم بتفويض عقد مفوض MetaMask موثوق به (جزء من EIP-7702) كان المخترقون قد سجلوه بالفعل.

عندما وقّعت الضحية على ما بدا وكأنه معاملة عادية، أدى ذلك إلى تشغيل مكالمة ”تنفيذ“ غير مرئية قامت بتشغيل مجموعة من التحويلات الاحتيالية في الخلفية.

وكانت النتيجة استنزاف دفعات صامتة من التوكنات. تُظهِر لقطة الشاشة أدناه (من سجلات برنامج Scam Sniffer) الموافقات على الدُفعات الخبيثة مظللة باللون الأحمر – تمت الموافقة على عشرات الرموز المميزة للتحويل بضربة واحدة.

نظرًا لأن كل هذا حدث داخل المحفظة الذكية المفوضة، لم ير المستخدم أي نوافذ منبثقة واضحة لكل موافقة على الرمز المميز. في الواقع، منحت الضحية دون أن تدري الإذن الشامل للمهاجمين بنقل عشرات الأصول المختلفة في خطوة واحدة.

كيف نجحت عملية التصيّد الاحتيالي التي قام بها “إنفيرنو درينر

تُظهِر لوحة معلومات مراقبة ScamSniffer (أعلاه) الموافقة على العديد من التوكيلات الرمزية دفعة واحدة عبر معاملة دُفعة واحدة. هذه هي بالضبط طريقة عمل عملية احتيال Inferno Drainer التصيدية: قام نداء ”تنفيذ“ MetaMask الخاص بالضحية بمعالجة حزمة من الموافقات الخبيثة بصمت، مما سمح للقراصنة بسحب حوالي 150,000 دولار من العملات المعدنية.

أوضح يو شيان، مؤسس SlowMist، المخطط: استخدمت مجموعة التصيد الاحتيالي ”محفظة MetaMask مفوضة – وهي محفظة مرخصة بالفعل بموجب EIP-7702 – للموافقة على عمليات نقل الرموز بصمت من خلال عملية تفويض دفعي“.

وعلى حد تعبيره، ”تستخدم عصابة التصيّد الاحتيالي هذه الآلية لإكمال عمليات التفويض المجمّعة على الرموز المتعلقة بعنوان الضحية“.

بعبارة أخرى، لم يكن على المهاجمين أن يستبدلوا عنوان المستخدم بعنوان مزيف؛ بل قاموا ببساطة بالاعتماد على كود العقد الذكي الخاص ب MetaMask.

أشار شيان إلى أن هذه العملية أكثر تعقيدًا من عمليات الاحتيال السابقة: ظل عنوان EOA الخاص بالمستخدم دون تغيير، بينما تم التعامل مع الدفعة الخبيثة بواسطة عقد MetaMask EIP-7702 Delegator.

يؤكد تحليل SlowMist على أن هذا الاستغلال كان ”مبتكرًا للغاية“ – فقد أساء استخدام ميزة المحفظة الشرعية بطريقة غير متوقعة.

ادعت مجموعة Inferno Drainer نفسها أنها أغلقت مؤخرًا، لكن شيان أشار إلى أن برمجيتها الخبيثة لا تزال نشطة وقد حققت أكثر من 9 ملايين دولار في الأشهر الستة الماضية. يتناسب اختراق 24 مايو مع قواعد اللعبة الخاصة بهم في عمليات الاحتيال على المحفظة متعددة السلاسل، ولكن مع تطور جديد بفضل ترقية EIP-7702 الخاصة بالإيثيريوم.

اتجاهات التصيد الاحتيالي ومخاطر EIP-7702

لم يكن هذا الهجوم الجهنمي مجرد هجمة معزولة. لا يزال التصيد الاحتيالي للعملات الرقمية متفشياً . سجّل تقرير Scam Sniffer لشهر أبريل 2025 حوالي 5.29 مليون دولار فُقدت بسبب عمليات التصيد الاحتيالي في ذلك الشهر، بزيادة 26% في الضحايا عن شهر مارس (7,565 ضحية). (والجدير بالذكر أن إجمالي شهر أبريل كان أقل بنسبة 17% عن شهر مارس الذي بلغ 6.37 مليون دولار، ولكن عدد المستخدمين الذين تعرضوا للخداع كان أكبر بكثير).

كان العام الماضي أسوأ من ذلك: تمت سرقة حوالي 494 مليون دولار عن طريق التصيد الاحتيالي للمحافظ في عام 2024 – بزيادة 67% عن عام 2023 – وفقًا لموقع Scam Sniffer. تسلط هذه الخسائر الضوء على كيفية استمرار المهاجمين في ابتكار حيل جديدة حتى مع زيادة أمان المحافظ.

ثغرة إيثريوم EIP-7702 هي أحدث تطور في ثغرة إيثريوم EIP-7702 . التصيد الاحتيالي التقليدي وغالبًا ما يخدع الضحايا للموافقة على تحويل رمزي واحد أو إرسال الأموال إلى عنوان مقلد.

على النقيض من ذلك، تتيح لهم طريقة عصابة Inferno تجميع العشرات من الموافقات على التوكنات في خطوة واحدة خفية. وكما لاحظ SlowMist، فإن هذا يمثل تحولاً: يقوم المهاجمون الآن بدمج ترقيات الإيثيريوم الرسمية في عمليات الاحتيال التي يقومون بها.

وحذّر يو شيان من أنه نظرًا لاعتماد المستخدمين على ميزات المحفظة المتقدمة مثل EIP-7702، يرى المحتالون ”طرقًا جديدة“ لاستنزاف الأموال. وباختصار، فإن المجموعات المألوفة تلحق بالتكنولوجيا الجديدة.

بصرف النظر عن Inferno Drainer، ظهرت مخططات EIP-7702 أخرى في مايو. في 20 مايو، أصدرت شركة GoPlus Security (عبر BlockBeats) تنبيهًا بشأن عنوان ”مفوض“ EIP-7702 الخبيث.

إذا قام أحد المستخدمين بتفويض هذا العنوان، فسيتم على الفور سحب أي إيثريوم موجود في المحفظة إلى حساب المهاجم. حثت GoPlus المستخدمين على تمكين EIP-7702 فقط من خلال واجهات المستخدم الرسمية للمحفظة ورفض أي روابط ترقية غير مرغوب فيها في رسائل البريد الإلكتروني.

على حد تعبيرهم، “لا تفوض وظيفة 7702 إلا من خلال تطبيق المحفظة الرسمي… لا تنقر أبدًا على الروابط الخارجية أو خيار “الترقية” في رسائل البريد الإلكتروني، وتحقق دائمًا من رمز مصدر العقد. هذه الاحتياطات تعكس نصيحة SlowMist: تحقق دائمًا من مصدر المعاملات ودقّق في موافقاتك.

نصائح الخبراء وملاحظات المستخدم

تشدد شركات الأمن على اليقظة. توصي شركة Scam Sniffer بالتحقق مرة أخرى من أي موقع أو عقد قبل التوقيع. على سبيل المثال، ينصحون المستخدمين بالتحقق من المواقع الإلكترونية قبل تسجيل الدخول أو الموافقة على المعاملات، وتدقيق أذونات الرمز المميز بانتظام، وتجنب النقر على الروابط التي لم يتم التحقق منها.

يقدم يو شيان من SlowMist تحذيرات مماثلة: ”يجب أن يكون الجميع متيقظين… احذروا من أن الأصول الموجودة في محفظتكم ستُسلب منكم“ إذا تم الاحتيال عليكم.

وهو يحث المستخدمين على وجه التحديد على مراجعة جميع تفويضات التوكنات ومراقبة أي تفويضات غير مألوفة من Ethereum EIP-7702 مرتبطة بمحفظتهم. في مقابلة أجريت معه مؤخرًا، حذر شيان أيضًا مستخدمي العملات الرقمية: ”لا تثق في مصدر واحد فقط. عندما يتعلق الأمر بالمال، عليك دائمًا إنشاء مصدر آخر موثوق به للتحقق.“

من الناحية العملية، يعني ذلك التحقق من خوادم Discord أو منشورات تويتر أو روابط البريد الإلكتروني من خلال القنوات الرسمية، وعدم التسرع في التوقيع على مطالبة عشوائية.