自 5 月 7 日 佩克特拉 升级启动以来，许多用户争相启用 EIP-7702 智能账户，却没有意识到其中的风险。

此次升级允许外部拥有账户 (EOA) 通过签名消息委托控制权，暂时充当智能合约钱包。虽然该功能提升了用户体验，但 EIP-7702 也给用户带来了新的安全风险，需要紧急关注。

据称，Top 7702 委托人是一个网络钓鱼诈骗

据 GoPlus Security 称，bundlebear.com 的链上数据揭示超过 10,000 个地址使用智能账户。

GoPlus 使用合约代码反编译发现，一旦用户使用 0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b 地址授权恶意委托人，转移到其账户的任何 ETH 都会自动重定向到诈骗者的地址。

分析代码后发现，授权后，所有 ETH 都会自动重定向到诈骗者钱包 0x000085bad，这被认定为一种复杂的盗窃机制。

很明显，骗子正在利用人们对Pectra升级。虽然威胁确实存在，但一些领先的钱包（例如 MetaMask）已经能够安全地集成 EIP-7702。

GoPlus Security 敦促想要保持安全的用户仅信任 7702 功能的钱包界面，并将任何要求智能账户升级的外部链接或电子邮件视为骗局。

大家一致认为，EIP-7702 将为以太坊的用户体验和交易灵活性带来显著提升，但务必保持警惕，切勿通过外部链接进行授权。GoPlus Security 警告称，如果有人在你的钱包之外催促你“升级”，那绝对是骗局。

其他建议的安全措施包括永远不要相信 7702 授权的电子邮件/URL 链接，始终验证合同源代码，对非开源合同格外小心，并确保仔细检查授权地址。

❗警告❗

🚨 前 7702 名委托人被揭露为网络钓鱼诈骗 🚨

在 Pectra 升级后，成千上万的用户争相启用 EIP-7702 智能账户，但也暴露出了一些危险的漏洞。虽然账户抽象技术具有革命性，但仍存在一些亟待解决的安全风险。

Details ⬇️

— GoPlus Security 🚦 (@GoPlusSecurity)2025年5月20日

硬件钱包也并不安全

在 Pectra 更新之前，硬件钱包被认为更安全。但 Hacken 链上研究员 Yehor Rudytsia 表示，情况已不再如此。

Rudytsia表示，从恶意消息签名的角度来看，硬件钱包现在面临的风险与热钱包相同。“一旦签名，所有资金都会瞬间消失，”他说。

虽然有办法保证安全，但所有方法都需要用户保持警惕。

Rudytsia建议：“用户不应该签署他们不理解的消息。”他还敦促钱包开发者在要求用户签署委托消息时提供明确的警告。

用户需要特别注意 EIP-7702 引入的新委托签名格式，因为它们与现有的 EIP-191 或 EIP-712 标准不兼容。这些消息通常以简单的 32 字节哈希值形式出现，可能会绕过正常的钱包警告。

Usman 警告说：“如果一条消息包含你的账户随机数，它可能会直接影响你的账户。正常的登录消息或链下承诺通常不会涉及你的随机数。”

更糟糕的是，EIP-7702 允许 chain_id = 0 的签名，这意味着签名的消息可以在任何兼容以太坊的链上重放。这意味着它可以在任何地方使用。

与硬件钱包相比，多重签名钱包在以下情况下更安全：Pectra由于需要多个签名者，因此需要升级。单密钥钱包（无论硬件还是其他类型）都必须采用新的签名解析和红旗标记工具，以防止潜在的漏洞。

Cryptopolitan Academy：即将推出 - 2025 年利用 DeFi 赚取被动收入的新方式。了解更多