你是否想過,與 DApp 互動時能如絲般順暢?一鍵完成授權+交易,甚至讓項目方替你支付 Gas 費?以太坊提出的 EIP-7702 正是為此而來,它被視為實現帳戶抽象的關鍵一步,讓普通錢包擁有智慧合約錢包的功能。
但這項便利的創新,正演變成駭客的利器,對用戶資產安全構成威脅。
什麼是 EIP-7702 ?
EIP-7702 可以被看作是你加密錢包的「智能管家」。平時你的錢包只有你能操作,但通過 EIP-7702,你只需簽名一次「授權(authorization)」交易,就能授權一段程式碼全權代你操作,比如批量轉帳、代付 Gas 費等。
這種設計的本意是為了提升效率,解決傳統錢包的一些痛點,例如合併多步操作為一筆交易、支持第三方代付 Gas 費、未來還可支持遊戲等場景下的免簽名「會話密鑰」。
聽起來很方便,但問題在於:如果你授權的是偽裝成管家的惡意程式,那你就相當於把錢包的「萬能鑰匙」交給了騙子,他們可以在你毫無察覺的情況下盜走資產。
EIP-7702 授權現狀
儘管 EIP-7702 的設計初衷良好,但它也帶來了新的安全問題。根據 Dune 資料顯示,截至 2025 年 6 月,約有 7.9 萬筆授權交易,涉及 4.8 萬個地址,超過 97% 的授權都流向了單一的惡意合約,超過 65% 的資金最終流入同一個黑客地址(0x8938...e704)。
這一系列數據揭示:大量用戶在不知情的情況下,將自己錢包的控制權拱手讓給了攻擊者,攻擊已高度自動化和規模化。
EIP-7702 攻擊案例
案例一:空投誘餌,一簽歸零
小王在社交平台看到某熱門項目的「官方空投」連結,聲稱連接錢包簽名即可領取獎勵。點擊連結後,錢包彈出簽名請求,界面只顯示一串難以辨認的哈希值(Hash)。小王誤以為是普通登錄驗證,習慣性點擊「確認」。
實際上,這個簽名請求正是騙子利用 EIP-7702 設計的惡意授權操作,授權後,騙子便以極高效率掃描並轉走了錢包中的 ETH、USDT 和 NFT。當小王再次查看錢包時,資產已被全部轉走。
案例二:私鑰外洩 + EIP-7702 授權
小李的電腦曾中病毒,導致私鑰外洩,但他未察覺。黑客在等待他資產積累,等待時機一次盜走。
過去,黑客需要多筆交易才能將受害者錢包中的多種代幣完成轉移,成本高且容易引發安全警報。借助 EIP-7702,他們只需用竊取的私鑰簽署一筆委託授權,就能為小李的錢包設置一個「清掃器」作為智能管家。如下,黑客只需一筆操作,即可在用戶毫不知情的情況下,全面控制其資產。
(用戶委託授權給惡意合約的 EIP-7702 交易)
imToken 安全團隊提醒:
為了從源頭上保護用戶資產,imToken 當前不支持觸發 EIP-7702 授權。這意味着,只要你通過 imToken 官方 App 進行操作,就不會觸發此類惡意授權,可以有效規避相關風險。
我們建議:
- 不要輕易使用 EIP-7702 delegation 功能,暫時避免使用不熟悉的錢包或插件進行 EIP-7702 操作,直到市場安全機制更完善。
- 不要簽署你不理解的交易,尤其是涉及授權類的互動。
- 使用工具定期查看授權記錄,推薦使用 Revoke.cash、Allowance、etherscan.io 的「Authorizations (EIP-7702)」欄目,按月檢查並撤銷不明授權。
imToken 一直在行動
安全風控
五月份,imToken 共標記風險代幣 3504 個;封鎖風險 DApp 網站 767 個;標記風險地址 1087 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。