值得信赖的区块链资讯!
imToken 钱包安全月报 39 期丨EIP-7702 授权骗局
来源:布噜说
你是否想过,与 DApp 交互时能如丝般顺畅?一键完成授权+交易,甚至让项目方为你支付 Gas 费?以太坊提出的 EIP-7702 正是为此而来,它被视为实现账户抽象的关键一步,让普通钱包拥有智能合约钱包的功能。
但这项便利的创新,正演变成黑客的利器,为用户资产安全带来威胁。
什么是 EIP-7702 ?
EIP-7702 可以被看作是你加密钱包的「智能管家」。平时你的钱包只有你能操作,但通过 EIP-7702,你只需签名一次「授权(authorization)」交易,就能授权一段代码全权代你操作,比如批量转账、代付 Gas 费等。 这种设计本意是为了提升效率,解决传统钱包的一些痛点,例如合并多步操作为一笔交易、支持第三方代付 Gas 费、未来还可支持游戏等场景下的免签名「会话密钥」。 听起来很方便,但问题在于:如果你授权的是伪装成管家的恶意代码,那你就相当于把钱包的「万能钥匙」交给了骗子,他们可以在你毫无察觉的情况下盗走资产。 EIP-7702 授权现状
尽管 EIP-7702 的设计初衷良好,但它也带来了新的安全问题。根据 Dune 数据显示,截至 2025 年 6 月,约有 7.9 万笔授权交易,涉及 4.8 万个地址,超过 97% 的授权都流向了单一的恶意合约,超 65% 的资金最终流入同一个黑客地址(0×8938…e704)。 这一系列数据揭示:大量用户在不知情的情况下,将自己钱包的控制权拱手让给了攻击者,攻击已高度自动化和规模化。 EIP-7702 攻击案例
案例一:空投诱饵,一签归零 小王在社交平台看到某热门项目的「官方空投」链接,声称连接钱包签名即可领取奖励。点击链接后,钱包弹出签名请求,界面只显示一串难以辨认的哈希值(Hash)。小王误以为是普通登录验证,习惯性点击「确认」。 实际上,这个签名请求正是诈骗分子利用 EIP-7702 设计的恶意授权操作,授权后,骗子便以极高效率扫描并转走了钱包中的 ETH、USDT 和 NFT。当小王再次查看钱包时,资产已被全部转走。 案例二:私钥泄露 + EIP-7702 授权 小李的电脑曾中病毒,导致私钥泄露,但他未察觉。黑客在等待他资产积累,等待时机一次盗走。 过去,黑客需要多笔交易才能将受害者钱包中的多种代币完成转移,成本高且容易引发安全警报。借助 EIP-7702,他们只需用窃取的私钥签署一笔委托授权,就能为小李的钱包设置一个「清扫器」作为智能管家。如下,黑客只需一笔操作,即可在用户毫不知情的情况下,全面控制其资产。 (用户委托授权给恶意合约的 EIP-7702 交易) imToken 安全团队提醒: 为了从源头上保护用户资产,imToken 当前不支持触发 EIP-7702 授权。这意味着,只要你通过 imToken 官方 App 进行操作,就不会触发此类恶意授权,可以有效规避相关⻛险。 我们建议: 不要轻易使用 EIP-7702 delegation 功能,暂时避免使用不熟悉的钱包或插件进行 EIP-7702 操作,直到市场安全机制更完善。 不要签署你不理解的交易,尤其是涉及授权类的交互。 使用工具定期查看授权记录,推荐使用 Revoke.cash, Allowance、etherscan.io 的「Authorizations (EIP-7702)」栏目,按月检查并撤销不明授权。
比推快讯
更多 >>- Galaxy Digital 研究主管:2026 年 BTC 旧币唤醒量预计不足去年一半,大派发阶段基本结束
- WAIC 最全周边活动合计来啦,周末上海就去这些地方边 AI 边 High
- 跨链协议 Owlto 加入 Google Web3 Startup Program,获专属云服务额度
- DeepSeek 首轮融资正式落地,腾讯等投资方完成入股
- 某预测市场玩家两周内实现从亏损 1080 万美元到盈利 800 万美元
- 数据:若 BTC 跌破 61,379 美元,主流 CEX 累计多单清算强度将达 17.1 亿美元
- Revolut 获迪拜 VARA 原则性批准,拟在阿联酋推出加密货币服务
- 苹果 Apple Intelligence 已在中国完成网信办备案,将集成阿里通义千问等大模型
- 数据:上半年加密一级市场融资金额达 86.58 亿美元,融资事件 259 起
- 苹果 AI 入华将同时接入百度和阿里,千问已获确认
- 鲁比尼:通胀仍是市场最大风险,美债收益率或升至 30 年高位
- Robinhood Chain 资金转向效用型代币,PONS 及 INDEX 市值齐破千万美元
- Claude 新广告开场烧房子,网友以为在看 AI 末日片
- 派盾:LayerZero Executor 钱包资金异动并非攻击,用户资金无风险
- Coinvestor Ventures 宣布战略投资链上交易平台 Universe Pro
- 数据:某地址 20 倍杠杆持有约 4800 万美元 ETH 多单和 BTC 空单,整体浮亏 385.6 万美元
- 美媒 Semafor:白宫不排除对开源 AI 模型采取行动
- Meta 高管:工程师 AI 账单或追平工资,未来可能限额
- 分析师:若油价企稳,美国科技板块或将受益
- 上线仅 5 小时 Hyperliquid 上长鑫存储 OI 突破 2300 万美元
- 美国财政部冻结与伊朗央行相关钱包中超 1.3 亿美元加密资产
- 阿里巴巴(BABA.N)盘前涨超 5%,此前阿里千问将作为 AI 能力集成至苹果智能
- 帕内塔:欧洲央行将保持通胀预期稳定以应对冲击
- 日本参议院通过修订版《金融商品交易法》,加密资产将适用 20% 税率并解禁 ETF
- Bitunix 上线 CFD(差价合约)交易功能
- 币安提前完成 KORUUSDT 合约大小调整
- 阿里巴巴盘前一度涨超 3%
- 李彦宏在《人民日报》发文:别只比烧了多少 Token,要看 Agent 干了多少活
- LayerZero Executor 钱包疑遭攻击,损失约 210 万美元
- 半导体板块占标普 500 指数权重升至 20%,创历史新高
- 英国计划 2027 年初前发行首只 G7 数字主权债券
- Apple 智能完成备案,苹果 AI 入华再过一关
- 数据:DePIN 板块总市值较历史高点下跌 83%,年内累计跌幅达 23%
- 长鑫科技:上市后仍将保持无实际控制人的控制权架构
- 美股盘前 SK 海力士下跌 4.6%
- 分析师:SK 海力士 ADR 高溢价反映全球 AI 硬件投资需求强劲
- Hyperliquid 平台交易者 BTC 多头仓位创阶段高位
- Strategy CEO 计划恢复比特币增持并继续增加美元储备
- 数据:比特币 UTXO 亏损比例攀升至极端水平,链上数据显示市场压力加剧
- 分析师:比特币 24 小时上涨 3% 由真实需求驱动,而非空头挤压
- 日本参议院通过《金商法》修正案,加密资产正式被列为金融商品
- 币安将新增 10 种 bStocks 作为抵押品
- Bitget 质押借币新增 39 支股票代币(rToken)作为抵押品
- Bitunix 分析师:市场交易的不只是低通胀,而是政策可信度的重新定价
- 东方金诚:10 年期美债收益率大概率继续抬升
- BTC 长短期持仓比创 30 个月新高,长期持有者持续吸筹
- 巨鲸追踪SK 海力士巨鲸回吐近 90%浮盈,900 万美元空单平仓离场
- 韩媒:三星秘密研究赴美上市可行性公司此前否认相关计划
- 传 Claude Opus5 最快本周发布,填补 Fable5 退场空档
- Anthropic 免费送美国教师一年 Claude,可按 50 州课标备课
比推专栏
更多 >>观点
比推热门文章
- 苹果 Apple Intelligence 已在中国完成网信办备案,将集成阿里通义千问等大模型
- 数据:上半年加密一级市场融资金额达 86.58 亿美元,融资事件 259 起
- 苹果 AI 入华将同时接入百度和阿里,千问已获确认
- 鲁比尼:通胀仍是市场最大风险,美债收益率或升至 30 年高位
- Robinhood Chain 资金转向效用型代币,PONS 及 INDEX 市值齐破千万美元
- Claude 新广告开场烧房子,网友以为在看 AI 末日片
- 派盾:LayerZero Executor 钱包资金异动并非攻击,用户资金无风险
- Coinvestor Ventures 宣布战略投资链上交易平台 Universe Pro
- 数据:某地址 20 倍杠杆持有约 4800 万美元 ETH 多单和 BTC 空单,整体浮亏 385.6 万美元
- 美媒 Semafor:白宫不排除对开源 AI 模型采取行动
比推 APP


