Ein neues Feature auf Ethereum, EIP 7702, verspricht schnellere Transaktionen mit mehr Kontrolle, erweist sich in der Praxis jedoch vor allem als attraktiv für Kriminelle. Forscher von Wintermute und SlowMist schlagen Alarm: Über 97 % aller Autorisierungen über dieses System werden von Dieben genutzt, um automatisch ETH aus gehackten Wallets abzuziehen.
Ethereum ist erhältlich bei Bitvavo und Bybit.
Neue Technologie, altbekannter Missbrauch
EIP 7702 führt eine Methode ein, bei der Wallets temporär wie Smart Contracts fungieren. Nutzer können so im Voraus Transaktionen autorisieren. In der Theorie nützlich, aber in der Praxis spielt dies vor allem Cyberkriminellen in die Karten.
Laut einer Analyse von SlowMist sind es nicht etwa Phishing-Banden, sondern organisierte Coin-Diebstahlgruppen, die das System massenhaft nutzen. Sobald ein Private Key oder Seed Phrase kompromittiert ist, können Angreifer über automatisierte Verträge – sogenannte Sweepers oder Drainers – alle Mittel sofort verschieben. Eine manuelle Freigabe durch den Nutzer ist nicht mehr nötig.
„CrimeEnjoyor“ taucht überall auf
Eine Untersuchung von Wintermute zeigt, dass nahezu alle Delegationen im Rahmen von EIP 7702 auf Verträge mit exakt demselben bösartigen Code verweisen. Dieser Code wurde inzwischen öffentlich gemacht und unter dem Namen „CrimeEnjoyor“ verifiziert. Da nun sichtbar ist, was der Vertrag ausführt, können Warnhinweise hinzugefügt werden, um Nutzer zu sensibilisieren.
Das Dashboard von Wintermute auf Dune gibt Einblick in dieses Muster und zeigt, wie weit die Verbreitung bereits fortgeschritten ist.
Plattformen wie Trust Wallet, Thirdweb und sogar Uniswap v1 nutzen mittlerweile EIP 7702, erscheinen jedoch ebenfalls auf dem Dashboard aufgrund von Verträgen, die mit verdächtigen Autorisierungen verbunden sind.
Transparenz ist entscheidend
Das Kernproblem liegt darin, dass neue Ethereum-Tools ohne verifizierten Code und klare Kennzeichnung schnell missbraucht werden können, ohne dass Nutzer es bemerken – insbesondere unerfahrene Nutzer sind gefährdet. Die jüngsten Entwicklungen rund um den Ethereum-Kurs zeigen, wie wichtig Sicherheit geworden ist.
Wintermute fordert daher mehr Transparenz, eine standardmäßige Verifizierung von Verträgen und deutliche Hinweise auf mögliches Fehlverhalten. Solange dies fehlt, bleibt es für Kriminelle kinderleicht, die Infrastruktur für eigene Zwecke zu missbrauchen.