“CrimeEnjoyor” avverte gli utenti di Ethereum di potenziali attacchi

Il market maker di criptovalute Wintermute ha sviluppato uno strumento in grado di avvisare gli utenti di Ethereum di potenziali attacchi hacker. Lo strumento funziona inserendo avvisi on-chain negli smart contract che contenengono i malware in grado di svuotare completamente i wallet.

Il nuovo strumento di Wintermute si chiama CrimeEnjoyor e non poteva arrivare in un momento migliore, visto che gli utenti di Ethereum si trovano affrontare una nuova minaccia che sfrutta una funzionalità dell’ultimo aggiornamento della rete per svuotare i wallet.

Il 30 maggio, Wintermute ha rivelato di aver sviluppato “CrimeEnjoyor”, un codice che inserisce avvisi visibili nei contratti Ethereum verificati come dannosi. L’iniziativa prende di mira i contratti progettati per svuotare automaticamente i wallet quando le chiavi private vengono compromesse.

Avviso: “Non inviare ETH”

Il messaggio inserito afferma chiaramente:

“Questo contratto viene utilizzato dai malintenzionati per spazzare automaticamente tutti gli ETH in arrivo da indirizzi compromessi

[…]

SE HAI TROVATO QUESTO CONTRATTO IN QUALSIASI ELENCO DI AUTORIZZAZIONI,
L’EOA DELEGATO AD ESSO È STATO COMPROMESSO!!!

NON INVIARE ETH/BNB,

SARANNO IMMEDIATAMENTE SPAZZATI VIA”.

I contratti dannosi sfruttano l’Ethereum Improvement Proposal-7702 (EIP-7702), una funzionalità introdotta nel recente aggiornamento Pectra.

L’EIP-7702 consente ai proprietari dei wallet di delegare temporaneamente il controllo dei propri wallet agli smart contract, una funzionalità opzionale pensata per espandere le capacità di Ethereum.

Tuttavia, il team di ricerca di Wintermute ha individuato alcuni modelli preoccupanti.

Secondo la loro analisi, oltre il 97% delle deleghe EIP-7702 veniva utilizzato in identici contratti di svuotamento, progettati apposta per prosciugare automaticamente gli ETH dagli indirizzi compromessi. In un post pubblicato su X, Wintermute ha affermato:

“Si tratta di contratti sweepers, utilizzati per drenare automaticamente gli ETH in entrata da indirizzi compromessi”.

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

Per inserire gli avvisi, il team ha decodificato il bytecode della Ethereum Virtual Machine (EVM) dei contratti in codice Solidity leggibile, e poi lo ha verificato pubblicamente.

Di conseguenza, adesso l’avviso modificato appare all’interno della maggior parte dei contratti dannosi. Wintermute ha aggiunto:

“Questo bytecode copiato e incollato ora rappresenta la maggior parte di tutte le deleghe EIP-7702. È divertente, desolante e affascinante allo stesso tempo”.

Sebbene la funzionalità EIP-7702 sia stata progettata per offrire una maggiore flessibilità ai wallet, la sua mancanza di passaggi di verifica ha reso difficile per gli utenti, in particolare per i nuovi arrivati, distinguere tra contratti legittimi e dannosi.

Wintermute spera che l’etichettatura dei contratti compromessi contribuirà a far emergere attività sospette e a proteggere meglio l’ecosistema.

Un utente di Ethereum perde 146.000 dollari

I rischi di questa minaccia sono reali. Secondo la società di sicurezza blockchain Scam Sniffer, il 23 maggio un utente di Ethereum ha perso 146.550 dollari dopo aver firmato inconsapevolmente una serie di transazioni EIP-7702 dannose.

🚨 ALERT: An address upgraded to EIP-7702 lost $146,551 through malicious batched transactions in phishing attack. pic.twitter.com/7GbamqOZVI

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) May 24, 2025

Da quando l’aggiornamento Pectra di Ethereum è stato lanciato il 7 maggio, gli utenti hanno eseguito 12.329 transazioni EIP-7702.

Pectra ha anche introdotto altre modifiche significative: l’EIP-725 ha aumentato il limite di staking dei validatori da 32 ETH a 2.048 ETH, mentre l’EIP-7691 ha aumentato la capacità dei blob di dati per migliorare la scalabilità e ridurre le commissioni sulle reti layer-2 di Ethereum.

Il mese scorso, Vitalik Buterin ha presentato una nuova proposta volta a rendere molto più facile l’esecuzione dei nodi Ethereum da parte degli utenti comuni, riducendo i requisiti hardware e di archiviazione attualmente necessari per la sincronizzazione con la rete.

Il co-fondatore di Ethereum ha suggerito un cambiamento nel modo in cui i nodi memorizzano e recuperano i dati, passando dalla replica completa dei dati a un modello più flessibile e incentrato sull’utente.

Con questo approccio, i nodi memorizzerebbero solo i dati rilevanti per l’utente, anziché l’intero stato globale di Ethereum che, secondo Etherscan, attualmente supera 1,3 terabyte.