Una cualidad de la Propuesta de Mejora 7702 está siendo usufructuada por atacantes que drenan los fondos de las wallet de usuarios.
-
La EIP-7702 permite a los usuarios de Ethereum delegar funciones a contratos inteligentes.
-
Un enlace falso podría habilitar a que un usuario autorice permisos a un atacante.
La reciente actualización Pectra de Ethereum (ETH) ha abierto la puerta a nuevos riesgos, de acuerdo con el análisis de la plataforma Winermute, dado que la implementación de la Propuesta de Mejora 7702 (EIP-7702), que permite delegar acciones a contratos inteligentes para facilitar transacciones, está siendo explotada por hackers.
Según la fuente señalada, los atacantes utilizan mecanismos automatizados para drenar fondos de cuentas comprometidas, dejando a los usuarios vulnerables a estafas como el phishing.
EIP-7702: una herramienta bajo ataque
Conforme al reporte de Wintermute, una firma especializada en mercados de criptomonedas, revela que más del 97% de las delegaciones realizadas mediante la EIP-7702 están vinculadas a contratos idénticos, identificados como «CrimeEnjoyor». Estos contratos, conocidos como «sweepers» o barredores, están diseñados para extraer automáticamente el Ether de direcciones comprometidas, facilitando ataques de phishing y exponiendo la vulnerabilidad que la actualización Pectra ha traído a Ethereum.
La EIP-7702, introducida en Ethereum con Pectra el pasado 7 de mayo, permite a los usuarios de Ethereum delegar funciones a contratos inteligentes, que son programas que ejecutan acciones automáticamente en la red. Por ejemplo, un usuario puede autorizar a un contrato para que realice transacciones en su nombre, simplificando procesos como el intercambio de activos.
Sin embargo, esa facilidad ha sido aprovechada por actores maliciosos. Los «sweepers» identificados por Wintermute operan en múltiples contratos, lo que indica una estrategia coordinada para atacar a usuarios desprevenidos y vaciar sus reservas de Ether.
A diferencia de estafas anteriores que requerían múltiples confirmaciones de firma por parte de los usuarios, estos nuevos ataques aprovechan una sola transacción agrupada, lo que los hace más difíciles de detectar y más rápidos de ejecutar para los hackers.
El término «una sola transacción agrupada» se refiere a una funcionalidad que introduce la EIP-7702 en Ethereum. Varias acciones o permisos, que antes requerían múltiples aprobaciones por parte del usuario (como firmar varias transacciones por separado), ahora pueden combinarse en una única transacción que el usuario aprueba con una sola firma.
De modo tal, si un usuario cae en una trampa, como un enlace falso que le hace delegar permisos desde la wallet del usuario, los fondos en Ether de su cartera pueden ser transferidos rápidamente a los atacantes sin que pueda hacer nada para evitarlo. Estos riesgos detectados por Wintermute ya habían sido informados por CriptoNoticias, dado que usuarios habían advertido sobre ellos tras el primer día de la implementación Pectra en Ethereum.
¿Cómo llegan las estafas de phishing vinculadas con la EIP-7702?
Como lo detalló el educador en seguridad en el ecosistema de criptomonedas WiiMee en X, los ataques de phishing relacionados con la EIP-7702 comienzan cuando un usuario accede a un sitio web fraudulento, a menudo a través de un enlace engañoso recibido por correo o redes sociales, que lo invita a realizar acciones como «mintear» o «reclamar» activos. Al hacer clic, el usuario conecta su monedero, como MetaMask, y se le solicita aprobar una transacción agrupada que combina permisos peligrosos: otorga control total sobre sus activos y permite gastar sus tokens.
Una vez que el usuario confirma esa transacción en su wallet, continuó WiiMee, los atacantes pueden drenar rápidamente sus fondos, aprovechando la facilidad que ofrece la EIP-7702 para ejecutar acciones múltiples en un solo paso.
CrimeEnjoyor: ¿un esfuerzo sin ganancias para los atacantes?
Pese a lo dicho previamente por el equipo de Wintermute, un investigador de esa misma plataforma, conocido como en X como emparedad0, señaló que los contratos CrimeEnjoyor en Ethereum, a pesar de su amplia actividad, no habrían generado beneficios económicos para los atacantes.
Según su análisis, se han gastado cerca de “2,88 Ether para autorizar 79.000 direcciones”, y la descompilación del código revela que los fondos robados deberían dirigirse a una dirección específica (0x6f6Bd3907428ae93BC58Aca9Ec25AE3a80110428), la cual, hasta el 2 de junio de 2025, “no ha registrado ningún ingreso de Ether”.
Este patrón de falta de ganancias se repite en otros contratos similares, sugiriendo que las vulnerabilidades introducidas por la EIP-7702, aunque preocupantes, no han resultado efectivas para los explotadores, de acuerdo con lo dispuesto por el investigador de Wintermute.
Sin embargo, datos de Scam Sniffer, una plataforma dedicada a la seguridad de activos digitales, aseguró el pasado 24 de mayo que, a un usuario, producto de este mismo tipo de phishing, le habían robado casi 150.000 dólares, por lo que, en algunos casos, según este análisis, los atacantes sí habrían podido materializar el robo mediante la vulnerabilidad de la EIP-7702.
