Ethereum’un son büyük güncellemesi “Pectra” ile birlikte kullanıma sunulan EIP-7702 özelliği, cüzdan deneyimini geliştirmeyi hedeflese de siber tehditlerin yeni hedefi haline geldi. BSCN’nin 2 Haziran 2025 tarihli paylaşımına göre özellik, cüzdanların geçici olarak akıllı sözleşme gibi davranmasına, birden fazla işlemi birleştirmesine ve gaz ücretlerini üçüncü tarafların üstlenmesine imkân tanıyor. Ancak, güvenlik araştırmaları bu teknolojinin kötü niyetli aktörler tarafından hızla istismar edildiğini ortaya koyuyor.
Piyasanın önde gelen piyasa yapıcılarından Wintermute, EIP-7702 özelliğiyle bağlantılı işlemlerin %80’inden fazlasının ele geçirilmiş cüzdanlardan fon çekmek için kullanılan otomatik “süpürücü” sözleşmelere ait olduğunu belirtti. Bu kötü amaçlı faaliyetlerde kullanılan delegasyonların büyük kısmı, “CrimeEnjoyor” adı verilen basit ama etkili bir kod parçasına dayanıyor. Ele geçirilen özel anahtarlar aracılığıyla çalışan bu botlar, hedeflenen cüzdanlardan ETH çekerek saldırganlara aktarıyor.
Wintermute’un analizine göre, tüm EIP-7702 delegasyonlarının %97’si neredeyse birebir aynı kötü amaçlı kodu içeriyor. Bu durum, Ethereum kullanıcılarının güvenliğini tehdit eden yeni bir otomasyon dalgasına işaret ediyor. Her ne kadar EIP-7702 isteğe bağlı bir özellik olsa da, saldırganlar özellikle özel anahtarları sızdırılmış kullanıcıları hedef alarak sistemin zayıf noktalarını değerlendiriyor.
Güvenlik uzmanları, söz konusu sorunun EIP-7702’nin kendisinden ziyade kullanıcıların özel anahtarlarını koruma konusundaki yetersizliğinden kaynaklandığını vurguluyor. Tanınmış güvenlik araştırmacısı Taylor Monahan, güncellemenin potansiyelini kabul ederken, bu tür otomatik saldırıların artık daha hızlı ve daha ucuz hale geldiğine dikkat çekti.
Güncellemenin yayına girdiği 7 Mayıs 2025 tarihinden bu yana, toplamda 12.000’den fazla EIP-7702 işlemi gerçekleştirildi. Bu süreçte, güvenlik firması Scam Sniffer, yalnızca bir işlemde 150.000 dolar değerinde fon kaybı yaşandığını ve olayın “Inferno Drainer” adlı bilinen bir zararlı yazılım hizmetiyle bağlantılı olduğunu tespit etti.
Wintermute, Ethereum topluluğuna çağrıda bulunarak, potansiyel olarak tehlikeli sözleşmelerin işaretlenmesini ve kullanıcıların bu risklere karşı uyarılmasını öneriyor. Uzmanlar ise cüzdan sağlayıcılarına, delegasyon hedeflerinin kullanıcıya şeffaf bir şekilde sunulması konusunda daha fazla sorumluluk almaları çağrısında bulunuyor.
