从预警到实战,EIP-7702走过了一条比以太坊社群预期更短的路。
以太坊Pectra升级于2025年5月7日正式上线主网,其中EIP-7702被视为账户抽象(Account Abstraction)的重要里程碑——它允许外部拥有账户(EOA)透过签署授权讯息,暂时将执行权委派给智能合约。设计初衷是让普通用户也能享有批次交易、Gas代付等进阶功能。然而,4月29日报导指出,攻击者已实际利用这套机制,盗取包括QNT(Quant)、ETH在内的多项代币,声明协议级漏洞的首次大规模实战。
攻击流程并不复杂,却极难被普通用户察觉。攻击者首先搭建仿冒Uniswap、MetaMask等知名DeFi平台的钓鱼界面,诱导用户签署看似正常的「账户升级」或「批次授权」交易。
问题出在EIP-7702的授权tuple设计:一旦用户签署,账户执行权即委派给攻击者控制的恶意合约。攻击者随后呼叫execute()函式,一次性批次执行多笔代币转移与NFT的setApprovalForAll操作,整个过程在链上完成,不可撤销。
更危险的是,EIP-7702允许chain_id=0的跨链签名,意味着同一份钓鱼授权可在所有EVM相容链上重放——受害者损失不止一条链。连硬体钱包也难以幸免:问题在于「用户签了什么」,而非私钥是否安全。
自Pectra升级后,EIP-7702钓鱼攻击的损失数字一路攀升:
单一钓鱼事件最大损失:$1.54M USD(一名用户签署批次交易,含多项代币转移与NFT授权操作)
2025年8月单月累计损失:$12M,超过15,000个钱包受害
2026年1月IPOR Fusion PlasmaVault遭利用:损失达$267K–$336K
逾97%的EIP-7702授权指向恶意sweeper合约
区块链安全机构Slow Mist创办人余弦指出,Inferno Drainer与Pink Drainer等钓鱼集团已将EIP-7702整合到攻击工具链中,伪装成官方平台批次操作,攻击效率远高于传统钓鱼手法。
值得一提的是,做市商Wintermute早在Pectra升级初期便公开预警:EIP-7702的授权机制让大量恶意合约部署自动化成为可能,攻击者能快速复制、部署相同的钓鱼合约,压低攻击成本。曾报导这份预警,然而事态发展仍如Wintermute所料。
分析数据显示,超过80%的恶意EIP-7702授权使用完全相同的复制贴上合约——攻击者根本不需要高深技术,只要量产钓鱼页面即可。
GoPlus Security呼吁用户:只透过官方钱包界面使用EIP-7702相关功能;任何外部链接、电邮或社群贴文要求「升级智能账户」一律视为诈骗。签署任何授权前,务必确认委派物件是否为已知安全合约地址,遇到不明delegator请求时立即中止。
Slow Mist亦建议用户定期使用revoke.cash等工具,撤销不明的EIP-7702授权,避免账户持续暴露于风险中。
EIP-7702的推出,是以太坊帐户抽象路线图的关键一步,技术上确实为用户体验带来巨大改善空间。但从预警到实战利用,不过短短数月,这场攻击浪潮正在重新考验一个老问题:协议设计的灵活性,与终端用户的安全意识,永远存在差距。在这个差距被填平之前,每一个新功能都可能成为下一个钓鱼入口。