EIP-7702, adreslere akıllı sözleşmeler benzeri yetenek ve esneklik kazandırır. Giderek artan sayıda 7702 uygulaması sürekli olarak yaratılmakta, bu da daha fazla insanın Web3'e girmesi ve kullanıcı deneyimini artırması açısından son derece önemlidir.
Bununla birlikte, 7702'nin esnekliği ve çoğu kullanıcının 7702'ye aşina olmaması, dolandırıcılık sendikaları tarafından istismar ediliyor ve son zamanlarda Metamask 7702'nin toplu olarak yürütme yeteneği nedeniyle bazı kullanıcıların bir düzineden fazla etkileşime izin vermek zorunda kaldığını ve kimlik avı çetesinin tek bir işlemde birleştirilerek varlık hırsızlığına neden #InfernoDrainer gözlemledik.
Açıklama: Metamask'ın kendisinde bir güvenlik sorunu yoktur, Metamask, kullanıcılara 7702 ile ilgili yetenekler sağlarken kullanıcı güvenliğini öncelikli hale getirmiştir ve birçok güvenlik önlemi almıştır. Kullanıcıların 7702'nin yetenekleri ve ilgili riskleri hakkında daha fazla bilgi sahibi olmaları gerekmektedir, böylece bu tür güvenlik olaylarının tekrar yaşanmasını önleyebilirler.
Bir, Metamask 7702 Delagator imza yetkilendirme prensibi ve güvenlik tasarımı
Teknik analiz
Kullanıcı tarafından yetkilendirilmiş olan dağıtıcı sözleşme, kullanıcı hesabının code alanını bu sözleşmeye yönlendirir. Mevcut MetaMask resmi dağıtıcı sözleşme adresi: 0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B
Yetki yapısı: (chainId, delegatorAddress, nonce, signature) authorization_list yazma
İmza yöntemi: Metamask, EIP-7702 ile ilgili yetkilendirme işlemleri için birleşik bir imza mantığı, yani signEIP7702Authorization yöntemi kullanır ve digest7702 = keccak256(0x05 ‖ RLP(chainId, delege eden, ECDSA imzası nonce)), (v, r s) imza yapısı oluşturun ve aşağıda açıklandığı gibi hesap yetkilendirmesini ve yükseltmesini gerçekleştirmek için sonraki Tip-4 işlemlerine ekleyin:
Güvenli Tasarım: Web arayüzü, kullanıcıları herhangi bir Delegator'a yetki vermeye yönlendiremez, çünkü signEIP7702Authorization yöntemi yalnızca MetaMask cüzdanı içinde uygulanmıştır ve window.ethereum üzerinden web arayüzüne çağrı açmaz.. Web üzerinden erişilebilen imzalama yöntemleri, EIP-7702 yetkilendirme imzası için uygun değildir; imza özeti formatı aşağıdaki gibidir:
EIP-7702 standardının gerektirdiği imza formatı şudur:
eth_signTypedData_v4'ün 0x1901 ön ekini sabit olarak içermesi ve özet hesaplama sürecinin 7702 ile tamamen farklı olması nedeniyle, domainSeparator, primaryType ve message'ı ustaca oluştursa bile digest712'nin digest7702'ye eşit olması neredeyse imkansızdır.
Bu nedenle, web arayüzü bu yöntemle geçerli 7702 yetkilendirme imzasını sahte hale getiremez. Ayrıca, MetaMask, Delegator adresi için bir beyaz liste mekanizması uygular; varsayılan olarak yalnızca resmi Delegator (0x63c0...32B) yetkilendirmesine izin verir ve DApp'in adresleri kendiliğinden enjekte etmesine izin vermez, bu da kullanıcıların kötü niyetli Delegator yetkilendirme verilerini imzalamaya yönlendirilmesini daha da önler.
Kullanım Yöntemi
Mevcut EOA'yı Metamask'ta 7702 akıllı hesabına (Smart Account) yükseltmenin yolları temelde iki kategoriye ayrılmaktadır: aktif yükseltme ve pasif yükseltme.
Aktif yükseltme, kullanıcının cüzdan arayüzünde "Değiştir" düğmesine tıklayarak belirli bir Delegator Contract'ı yetkilendirmesi anlamına gelir.
Pasif yükseltme, kullanıcının 7702'yi destekleyen belirli DApp'lerle etkileşimde bulunması durumunda gerçekleşir; Metamask ilgili işlemi tespit ettiğinde otomatik olarak bir uyarı penceresi açar ve kullanıcıya yükseltmeyi tamamlamasını önerir.
2.1 Aktif Güncelleme:
İşlem içeriği: Sadece hesap yükseltme hareketini içerir, yani belirli bir Delegator Sözleşmesini yetkilendirmek.
Yükseltme süreci: Cüzdanın hesap detayları ekranına girin, aşağıdaki resimdeki geçiş butonuna tıklayın, böylece kullanıcı Ethereum Mainnet'ten akıllı bir hesaba yükseltilebilir. Geçişe tıkladıktan sonra, kullanıcının mevcut yükseltme işlemine imza atma penceresi açılır:
Yetki kayıtları: Onaylandıktan sonra, işlemin zincire eklenmesini bekleyin. Zincire eklenme işlemi başarılı olursa, kullanıcı akıllı hesaba başarıyla yükseltilir. Etherscan'deki mevcut cüzdan adresinin sayfasındaki **Yetkilendirmeler (EIP-7702)** kısmından belirli yetki işlem bilgilerini görüntüleyebilirsiniz.
2.2 Pasif Yükseltme
İşlem içeriği: Hesabı yükseltme eylemleri ve zincir üzerindeki akıllı sözleşmelerle etkileşimde bulunan toplu eylemleri içerir.
Yükseltme işlemi: Bir kullanıcı zincirdeki bazı DApp'lerle etkileşime girdiğinde, Metamask, kullanıcıya akıllı bir hesaba yükselterek ve toplu gönderme kullanarak mevcut işlemin tamamlanabileceğini aktif olarak hatırlatacaktır. Örneğin, Uniswap'ta bazı tokenleri takas ederseniz, akıllı hesaba yükseltmek için Akıllı hesap kullan düğmesine tıklayın ve ardından token yetkilendirmesi ve takası tek bir işlemde toplu olarak tamamlanacaktır.
2.3 Normal EOA'ya geç
Aktif veya pasif bir güncelleme yöntemi kullanarak mevcut hesabı akıllı hesaba dönüştürdüğünüzde, bağlı Delegator Contract adresi zincir üzerinde kalıcı olarak saklanacak ve hesabın mevcut yürütme mantığı olarak kullanılacaktır.
Eğer kullanıcı hesabını normal EOA olarak geri yüklemek istiyorsa, "EOA'ya geri geçiş" işlemini manuel olarak başlatması gerekir. Bu işlemin özünde: bir EIP-7702 yetkilendirmesi aracılığıyla address(0)'i yeni Delegator sözleşme adresi olarak sunmak vardır. Bu işlem başarıyla zincire kaydedildiğinde, hesabın code alanı boşaltılacak ve yürütme mantığı varsayılan boş koda geri dönecek, hesap normal EOA durumuna geri dönecektir.
Cüzdana giriş yaparak hesap detayları ekranına gidin, geçiş butonuna tıklayın, böylece kullanıcı Ethereum Mainnet'ten normal EOA hesabına geçiş yapabilir.
Onayladıktan sonra, işlemin zincire eklenmesini bekleyin. Zincire eklenmenin başarılı olması, kullanıcının akıllı sözleşmelerden normal EOA hesabına geçtiği anlamına gelir. İlgili işlem bilgileri de etherscan'da mevcut cüzdan adresi sayfasında bulunabilir.
İkincisi, 7702 Phishing saldırısı örneği
24 Mayıs'ta, #InfernoDrainer oltalama çetesi Metamask 7702-Delagator akıllı sözleşmesinin toplu yürütme işlevini kullanarak kullanıcıların (0xc6D2…06DC) token yetkilerini topluca dolandırdı ve oltalama saldırısı gerçekleştirdi. Toplam kayıp 146.000 dolardan fazla oldu $HashAI $HUMANS $ParallelAI $NeuralAI $DSync $Zero1 $NodeAI $Sensay $Virtual.
0xe9ae5c53 yöntemini 0xc6D289d5...0d2E606DC üzerinde çağır | Başarılı | Mayıs-23-2025 02:31:35 PM (UTC)
etherscan.io
#InfernoDrainer 和 #PinkDrainer, 7702'yi kullanarak daha gizli, daha büyük etki yaratan bir oltalama kara endüstrisi üzerinde deney yapıyor.
Araştırmalarımıza göre, şu anda balıkçı dolandırıcılık çetesi #InfernoDrainer 和 #PinkDrainer, 7702'yi daha gizli ve daha büyük etkiyle kullanma konusunda daha fazla deney yapıyor ve araştırıyor. İlgili adresler aşağıdadır; ayrıca ilerleyen günlerde daha detaylı bir rapor da yayınlayacağız:
Inferno Drainer:
0x0000db5c8B030ae20308ac975898E09741e70000
Pembe Drainer:
0xe49e04F40C272F405eCB9a668a73EEAD4b3B5624
Üç, Güvenlik Önerileri
Cüzdan sağlayıcısı:
Metamask'ın, kullanıcıların keyfi Delege Edenleri yetkilendirmesini yasaklayan ve yalnızca uygulama içi işlemlere izin veren 7702 Delegator için uygulama ve güvenlik yönetimine bakın. Kullanıcılara, bir web sayfası üzerinden oturum açması için yetkilendirme girişimlerinin bir kimlik avı saldırısı olduğunu hatırlatın.
Ağın mevcut ağla eşleşip eşleşmediğini kontrol edin ve kullanıcının chainID'si 0 olan bir imza kullanırken yeniden oynatma riski olduğunu hatırlatın.
Kullanıcı imza yetkisi verirken hedef akıllı sözleşmeyi göster, kullanıcı Delegator aracılığıyla toplu işlem yaptığında spesifik fonksiyon çağrı içeriğini göster, sosyal mühendislik saldırı riskini azalt.
Kullanıcı:
Özel anahtar koruması her zaman en önemlisidir. Not your keys, not your coins.
Herhangi bir bağımsız web sayfasına dayanarak Delegator yetkilendirmesi yapmayın, güvenli yetkilendirme genellikle yalnızca Metamask gibi uygulama içinde gerçekleştirilir.
Herhangi bir cüzdan kullanarak imza atarken, imza içeriğini dikkatlice inceleyin, kör imza veya yanlış imza atmaktan kaçının.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Derinlikte 7702 oltalama saldırısı prensibi, Cüzdan ve kullanıcı nasıl önlem almalı?
EIP-7702, adreslere akıllı sözleşmeler benzeri yetenek ve esneklik kazandırır. Giderek artan sayıda 7702 uygulaması sürekli olarak yaratılmakta, bu da daha fazla insanın Web3'e girmesi ve kullanıcı deneyimini artırması açısından son derece önemlidir.
Bununla birlikte, 7702'nin esnekliği ve çoğu kullanıcının 7702'ye aşina olmaması, dolandırıcılık sendikaları tarafından istismar ediliyor ve son zamanlarda Metamask 7702'nin toplu olarak yürütme yeteneği nedeniyle bazı kullanıcıların bir düzineden fazla etkileşime izin vermek zorunda kaldığını ve kimlik avı çetesinin tek bir işlemde birleştirilerek varlık hırsızlığına neden #InfernoDrainer gözlemledik.
Açıklama: Metamask'ın kendisinde bir güvenlik sorunu yoktur, Metamask, kullanıcılara 7702 ile ilgili yetenekler sağlarken kullanıcı güvenliğini öncelikli hale getirmiştir ve birçok güvenlik önlemi almıştır. Kullanıcıların 7702'nin yetenekleri ve ilgili riskleri hakkında daha fazla bilgi sahibi olmaları gerekmektedir, böylece bu tür güvenlik olaylarının tekrar yaşanmasını önleyebilirler.
Bir, Metamask 7702 Delagator imza yetkilendirme prensibi ve güvenlik tasarımı
Kullanıcı tarafından yetkilendirilmiş olan dağıtıcı sözleşme, kullanıcı hesabının code alanını bu sözleşmeye yönlendirir. Mevcut MetaMask resmi dağıtıcı sözleşme adresi: 0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B
Yetki yapısı: (chainId, delegatorAddress, nonce, signature) authorization_list yazma
İmza yöntemi: Metamask, EIP-7702 ile ilgili yetkilendirme işlemleri için birleşik bir imza mantığı, yani signEIP7702Authorization yöntemi kullanır ve digest7702 = keccak256(0x05 ‖ RLP(chainId, delege eden, ECDSA imzası nonce)), (v, r s) imza yapısı oluşturun ve aşağıda açıklandığı gibi hesap yetkilendirmesini ve yükseltmesini gerçekleştirmek için sonraki Tip-4 işlemlerine ekleyin:
Doğrulama yöntemi: Konsensüs katmanı ecrecover(digest7702, sig) == tx.from ile doğrulamayı tamamlar.
Güvenli Tasarım: Web arayüzü, kullanıcıları herhangi bir Delegator'a yetki vermeye yönlendiremez, çünkü signEIP7702Authorization yöntemi yalnızca MetaMask cüzdanı içinde uygulanmıştır ve window.ethereum üzerinden web arayüzüne çağrı açmaz.. Web üzerinden erişilebilen imzalama yöntemleri, EIP-7702 yetkilendirme imzası için uygun değildir; imza özeti formatı aşağıdaki gibidir:
EIP-7702 standardının gerektirdiği imza formatı şudur:
eth_signTypedData_v4'ün 0x1901 ön ekini sabit olarak içermesi ve özet hesaplama sürecinin 7702 ile tamamen farklı olması nedeniyle, domainSeparator, primaryType ve message'ı ustaca oluştursa bile digest712'nin digest7702'ye eşit olması neredeyse imkansızdır.
Bu nedenle, web arayüzü bu yöntemle geçerli 7702 yetkilendirme imzasını sahte hale getiremez. Ayrıca, MetaMask, Delegator adresi için bir beyaz liste mekanizması uygular; varsayılan olarak yalnızca resmi Delegator (0x63c0...32B) yetkilendirmesine izin verir ve DApp'in adresleri kendiliğinden enjekte etmesine izin vermez, bu da kullanıcıların kötü niyetli Delegator yetkilendirme verilerini imzalamaya yönlendirilmesini daha da önler.
Mevcut EOA'yı Metamask'ta 7702 akıllı hesabına (Smart Account) yükseltmenin yolları temelde iki kategoriye ayrılmaktadır: aktif yükseltme ve pasif yükseltme.
Aktif yükseltme, kullanıcının cüzdan arayüzünde "Değiştir" düğmesine tıklayarak belirli bir Delegator Contract'ı yetkilendirmesi anlamına gelir.
Pasif yükseltme, kullanıcının 7702'yi destekleyen belirli DApp'lerle etkileşimde bulunması durumunda gerçekleşir; Metamask ilgili işlemi tespit ettiğinde otomatik olarak bir uyarı penceresi açar ve kullanıcıya yükseltmeyi tamamlamasını önerir.
2.1 Aktif Güncelleme:
İşlem içeriği: Sadece hesap yükseltme hareketini içerir, yani belirli bir Delegator Sözleşmesini yetkilendirmek.
Yükseltme süreci: Cüzdanın hesap detayları ekranına girin, aşağıdaki resimdeki geçiş butonuna tıklayın, böylece kullanıcı Ethereum Mainnet'ten akıllı bir hesaba yükseltilebilir. Geçişe tıkladıktan sonra, kullanıcının mevcut yükseltme işlemine imza atma penceresi açılır:
Yetki kayıtları: Onaylandıktan sonra, işlemin zincire eklenmesini bekleyin. Zincire eklenme işlemi başarılı olursa, kullanıcı akıllı hesaba başarıyla yükseltilir. Etherscan'deki mevcut cüzdan adresinin sayfasındaki **Yetkilendirmeler (EIP-7702)** kısmından belirli yetki işlem bilgilerini görüntüleyebilirsiniz.
2.2 Pasif Yükseltme
İşlem içeriği: Hesabı yükseltme eylemleri ve zincir üzerindeki akıllı sözleşmelerle etkileşimde bulunan toplu eylemleri içerir.
Yükseltme işlemi: Bir kullanıcı zincirdeki bazı DApp'lerle etkileşime girdiğinde, Metamask, kullanıcıya akıllı bir hesaba yükselterek ve toplu gönderme kullanarak mevcut işlemin tamamlanabileceğini aktif olarak hatırlatacaktır. Örneğin, Uniswap'ta bazı tokenleri takas ederseniz, akıllı hesaba yükseltmek için Akıllı hesap kullan düğmesine tıklayın ve ardından token yetkilendirmesi ve takası tek bir işlemde toplu olarak tamamlanacaktır.
2.3 Normal EOA'ya geç
Aktif veya pasif bir güncelleme yöntemi kullanarak mevcut hesabı akıllı hesaba dönüştürdüğünüzde, bağlı Delegator Contract adresi zincir üzerinde kalıcı olarak saklanacak ve hesabın mevcut yürütme mantığı olarak kullanılacaktır.
Eğer kullanıcı hesabını normal EOA olarak geri yüklemek istiyorsa, "EOA'ya geri geçiş" işlemini manuel olarak başlatması gerekir. Bu işlemin özünde: bir EIP-7702 yetkilendirmesi aracılığıyla address(0)'i yeni Delegator sözleşme adresi olarak sunmak vardır. Bu işlem başarıyla zincire kaydedildiğinde, hesabın code alanı boşaltılacak ve yürütme mantığı varsayılan boş koda geri dönecek, hesap normal EOA durumuna geri dönecektir.
Cüzdana giriş yaparak hesap detayları ekranına gidin, geçiş butonuna tıklayın, böylece kullanıcı Ethereum Mainnet'ten normal EOA hesabına geçiş yapabilir.
Onayladıktan sonra, işlemin zincire eklenmesini bekleyin. Zincire eklenmenin başarılı olması, kullanıcının akıllı sözleşmelerden normal EOA hesabına geçtiği anlamına gelir. İlgili işlem bilgileri de etherscan'da mevcut cüzdan adresi sayfasında bulunabilir.
İkincisi, 7702 Phishing saldırısı örneği
24 Mayıs'ta, #InfernoDrainer oltalama çetesi Metamask 7702-Delagator akıllı sözleşmesinin toplu yürütme işlevini kullanarak kullanıcıların (0xc6D2…06DC) token yetkilerini topluca dolandırdı ve oltalama saldırısı gerçekleştirdi. Toplam kayıp 146.000 dolardan fazla oldu $HashAI $HUMANS $ParallelAI $NeuralAI $DSync $Zero1 $NodeAI $Sensay $Virtual.
Dolandırıcılık Adresi
0x0000db5c8B030ae20308ac975898E09741e70000 0x00008C22F9F6f3101533f520e229BbB54Be90000 0xa85d90B8Febc092E11E75Bf8F93a7090E2ed04DE 0xC83De81A2aa92640D8d68ddf3Fc6b4B853D77359 0x33dAD2bbb03Dca73a3d92FC2413A1F8D09c34181
Balık tutma işlem örneği
Ağa düşme nedeni
Kullanıcı (0xc6D2…06DC) kötü niyetli toplu yetkilendirme işlemi gerçekleştirdi:
Ethereum İşlem Hash'i: 0x1ddc8cecbc... | Etherscan
0xe9ae5c53 yöntemini 0xc6D289d5...0d2E606DC üzerinde çağır | Başarılı | Mayıs-23-2025 02:31:35 PM (UTC)
etherscan.io
#InfernoDrainer 和 #PinkDrainer, 7702'yi kullanarak daha gizli, daha büyük etki yaratan bir oltalama kara endüstrisi üzerinde deney yapıyor.
Araştırmalarımıza göre, şu anda balıkçı dolandırıcılık çetesi #InfernoDrainer 和 #PinkDrainer, 7702'yi daha gizli ve daha büyük etkiyle kullanma konusunda daha fazla deney yapıyor ve araştırıyor. İlgili adresler aşağıdadır; ayrıca ilerleyen günlerde daha detaylı bir rapor da yayınlayacağız:
Inferno Drainer:
0x0000db5c8B030ae20308ac975898E09741e70000
Pembe Drainer:
0xe49e04F40C272F405eCB9a668a73EEAD4b3B5624
Üç, Güvenlik Önerileri
Cüzdan sağlayıcısı:
Metamask'ın, kullanıcıların keyfi Delege Edenleri yetkilendirmesini yasaklayan ve yalnızca uygulama içi işlemlere izin veren 7702 Delegator için uygulama ve güvenlik yönetimine bakın. Kullanıcılara, bir web sayfası üzerinden oturum açması için yetkilendirme girişimlerinin bir kimlik avı saldırısı olduğunu hatırlatın.
Ağın mevcut ağla eşleşip eşleşmediğini kontrol edin ve kullanıcının chainID'si 0 olan bir imza kullanırken yeniden oynatma riski olduğunu hatırlatın.
Kullanıcı imza yetkisi verirken hedef akıllı sözleşmeyi göster, kullanıcı Delegator aracılığıyla toplu işlem yaptığında spesifik fonksiyon çağrı içeriğini göster, sosyal mühendislik saldırı riskini azalt.
Kullanıcı:
Özel anahtar koruması her zaman en önemlisidir. Not your keys, not your coins.
Herhangi bir bağımsız web sayfasına dayanarak Delegator yetkilendirmesi yapmayın, güvenli yetkilendirme genellikle yalnızca Metamask gibi uygulama içinde gerçekleştirilir.
Herhangi bir cüzdan kullanarak imza atarken, imza içeriğini dikkatlice inceleyin, kör imza veya yanlış imza atmaktan kaçının.