Ethereum dank neuestem Upgrade besonders beliebt bei Betrügern

Ethereum dank neuestem Upgrade besonders beliebt bei Betrügern

Die Ethereum-Blockchain ist dank ihres neuesten Upgrades besonders beliebt bei Betrügern – das geht aus Informationen hervor, die mehrere Blockchainfirmen teilten. So teilte Wintermute am 30. Mai jüngste Erkenntnisse über das Pectra Upgrade.

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

“EIP-7702 bietet zwar neuen Komfort, birgt aber auch neue Risiken”, titelt Wintermute dort.

EIP-7702 ist ein Baustein des Pectra-Upgrades, das Ethereum am 7. Mai auf die Blockchain aufspielte. EIP-7702 ist ein Teil der sogenannten Account Abstraction – ein Prinzip, an dem die ETH-Entwickler schon seit vielen Monaten arbeiten.

Bisher basiert Ethereum auf zwei verschiedenen Kontotypen, die mittels Account Abstraction zusammengelegt werden. Dadurch steigt der Nutzerkomfort. Ethereum wird moderner, da Nutzerkonten programmierbar werden. So lassen sich etwa wiederkehrende Zahlungen einrichten, der Zugriff auf Vermögen teilen oder ein Totmannschalter einrichten.

Wintermute stellte über die vergangenen Wochen fest, dass auch Betrüger helles Interesse an der Account Abstraction zeigen. EIP-7702 habe eine Welle geglückter Phishing-Angriffe ausgelöst, die nun zu großen Teilen vollkommen automatisiert ablaufen.

Eine bestimmte Anwendung konnte Wintermute dabei als Hauptverursacher der neuen Problematik erkennen. Sie trägt den Namen CrimeEnjoyer und sei in kriminellen Kreisen bereits jetzt sehr weit verbreitet.

“Der CrimeEnjoyor ist kurz und simpel und wird häufig wiederverwendet. Dieser eine kopierte Bytecode macht jetzt die Mehrheit aller EIP-7702-Delegationen aus”, erklärt Wintermute.

Auch das Sicherheitsunternehmen SlowMist beschäftigte sich mit den Risiken von EIP-7702 und teilte in einem Schreiben Nutzungsempfehlungen, die eine Sicherheit der Anwender gewährleisten sollen.

So stehlen Angreifer dank EIP-7702 Gelder

Vorab: Ein grundlegendes Sicherheitsrisiko besteht auf Ethereum auch trotz EIP-7702 weiterhin nicht. Gelder gehen nur dann verloren, wenn dem Nutzer ein persönlicher Fehler unterläuft.

Der Angriff beginnt mit dem Phishing. Angreifer locken ihre Opfer etwa durch Nachrichten, die per E-Mail oder Direktnachricht verschicken. Auch die Erstellung gefälschter Webseiten ist ein beliebtes Muster. Fällt das Opfer auf den Betrug herein, so bestätigt es eine bösartige Transaktion, durch die die Kontrolle über die Gelder der Wallet an einen Angreifer delegiert wird.

Das Besondere an EIP-7702: Es macht das sogenannte Sweeping sehr einfach für die Angreifer. Durch die neue Funktion können EOAs – also Nutzerkonten – Smart-Contract-Codes anwenden. Bis Mai 2025 war dies nicht möglich.

Aufgrund der Funktionsweise von EIP-7702 bleiben die Opfer oft im Dunkeln. Sie bemerken nicht, dass sie einem bösartigen Vertrag zugestimmt haben, bis dieser ihre gesamten Anlagen ausgeräumt hat.

Sofern der bestätigte Vertrag nicht widerrufen wird, bleibt die Kontrolle des Angreifers über die Wallet zudem bestehen. Neue Gelder können dann ebenfalls abgezapft werden.

EIP-7702 wird aktuell beinahe ausschließlich von Betrügern genutzt, die größtenteils denselben Programmcode nutzen.

“Unser Forschungsteam fand heraus, dass über 97 Prozent aller EIP-7702-Delegationen für Smart-Contracts mit demselben Code autorisiert wurden. Es handelt sich um Sweeper, die dazu verwendet werden, automatisch ETH von kompromittierten Adressen abzuziehen”, erklärt Wintermute.