Alerte de sécurité concernant le phishing EIP-7702
Le fondateur de SlowMist, Cao Yun, a récemment retweeté une alerte de sécurité publiée par ScamSniffer, signalant qu’aujourd’hui, un utilisateur a perdu environ 1,54 million de dollars en raison de la signature d’une transaction par lot de phishing EIP-7702, impliquant ETH, BTC et plusieurs tokens stakés sur Ethereum.
Principe du phishing EIP-7702
Le principe derrière EIP-7702 consiste à déléguer l’autorisation de l’adresse EOA (Externally Owned Account) de l’utilisateur à MetaMask via un « EIP-7702 Delegator« , permettant ainsi de compléter les opérations de transfert de tokens ultérieures par le biais d’appels de contrat. Cette méthode de phishing a été industrialisée par des groupes de fraudeurs. Si une personne est amenée à effectuer des transactions, l’ensemble des actifs de son compte peut être perdu.
Conseils de prévention
Les utilisateurs sont donc fortement encouragés à vérifier l’authenticité des sites web et des liens avant de confirmer toute transaction afin de prévenir la fraude.
Plus tôt, le 22 août, selon les observations de ScamSniffer, un utilisateur a signé une transaction par lot de phishing EIP-7702 déguisée en échange Uniswap, entraînant une perte d’environ 1 million de dollars en tokens et NFTs. L’attaquant a utilisé une interface de trading Uniswap contrefaite pour induire l’utilisateur à signer la transaction, intégrant ainsi un code malveillant ou une autorisation dans celle-ci.
