你是否想过,与 DApp 交互时能如丝般顺畅?一键完成授权+交易,甚至让项目方为你支付 Gas 费?以太坊提出的 EIP-7702 正是为此而来,它被视为实现账户抽象的关键一步,让普通钱包拥有智能合约钱包的功能。
但这项便利的创新,正演变成黑客的利器,为用户资产安全带来威胁。
什么是 EIP-7702 ?
EIP-7702 可以被看作是你加密钱包的「智能管家」。平时你的钱包只有你能操作,但通过 EIP-7702,你只需签名一次「授权(authorization)」交易,就能授权一段代码全权代你操作,比如批量转账、代付 Gas 费等。
这种设计本意是为了提升效率,解决传统钱包的一些痛点,例如合并多步操作为一笔交易、支持第三方代付 Gas 费、未来还可支持游戏等场景下的免签名「会话密钥」。
听起来很方便,但问题在于:如果你授权的是伪装成管家的恶意代码,那你就相当于把钱包的「万能钥匙」交给了骗子,他们可以在你毫无察觉的情况下盗走资产。
EIP-7702 授权现状
尽管 EIP-7702 的设计初衷良好,但它也带来了新的安全问题。根据 Dune 数据显示,截至 2025 年 6 月,约有 7.9 万笔授权交易,涉及 4.8 万个地址,超过 97% 的授权都流向了单一的恶意合约,超 65% 的资金最终流入同一个黑客地址(0x8938...e704)。
这一系列数据揭示:大量用户在不知情的情况下,将自己钱包的控制权拱手让给了攻击者,攻击已高度自动化和规模化。
EIP-7702 攻击案例
案例一:空投诱饵,一签归零
小王在社交平台看到某热门项目的「官方空投」链接,声称连接钱包签名即可领取奖励。点击链接后,钱包弹出签名请求,界面只显示一串难以辨认的哈希值(Hash)。小王误以为是普通登录验证,习惯性点击「确认」。
实际上,这个签名请求正是诈骗分子利用 EIP-7702 设计的恶意授权操作,授权后,骗子便以极高效率扫描并转走了钱包中的 ETH、USDT 和 NFT。当小王再次查看钱包时,资产已被全部转走。
案例二:私钥泄露 + EIP-7702 授权
小李的电脑曾中病毒,导致私钥泄露,但他未察觉。黑客在等待他资产积累,等待时机一次盗走。
过去,黑客需要多笔交易才能将受害者钱包中的多种代币完成转移,成本高且容易引发安全警报。借助 EIP-7702,他们只需用窃取的私钥签署一笔委托授权,就能为小李的钱包设置一个「清扫器」作为智能管家。如下,黑客只需一笔操作,即可在用户毫不知情的情况下,全面控制其资产。
(用户委托授权给恶意合约的 EIP-7702 交易)
imToken 安全团队提醒:
为了从源头上保护用户资产,imToken 当前不支持触发 EIP-7702 授权。这意味着,只要你通过 imToken 官方 App 进行操作,就不会触发此类恶意授权,可以有效规避相关⻛险。
我们建议:
- 不要轻易使用 EIP-7702 delegation 功能,暂时避免使用不熟悉的钱包或插件进行 EIP-7702 操作,直到市场安全机制更完善
- 不要签署你不理解的交易,尤其是涉及授权类的交互。
- 使用工具定期查看授权记录,推荐使用 Revoke.cash, Allowance、etherscan.io 的「Authorizations (EIP-7702)」栏目,按月检查并撤销不明授权。
imToken 一直在行动
安全风控
五月份,imToken 共标记风险代币 3504 个;封禁风险 DApp 网站 767 个;标记风险地址 1087 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。