イーサリアムPectraアップグレード、自動攻撃リスクが浮上

暗号資産（仮想通貨）取引会社のWintermuteは5月31日、イーサリアム（ETH）のPectraアップグレード後に発生している自動攻撃について警告を発表した。

イーサリアムPectraアップグレードは、EIP-7702（イーサリアムの口座が一時的にスマートコントラクトの機能を持つ改善提案）機能を通じてユーザー体験の向上を目的として実装された。

この機能により、ウォレットが一時的にスマートコントラクト（契約自動承認）として動作し、バッチ取引処理（取引一括処理）、マルチシグネチャ承認（複数電子署名による取引許可）、支出制限などの機能が利用できるようになった。

しかし、この新機能が悪意のある攻撃者によって悪用され、イーサリアムユーザーに対する自動攻撃が急増している。

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

CrimeEnjoyorコントラクトによる組織的攻撃

Wintermuteの分析によると、攻撃者は「CrimeEnjoyor」と呼ばれる軽量な悪意のあるスマートコントラクトを使用している。

このコントラクトはコピー・ペーストされた簡素な構造で、脆弱なアドレスを組織的にスキャンしてウォレットを空にする仕組みだ。

特に深刻なのは、Wintermuteが観測したEIP-7702委任の80%以上がこれらの悪意のあるコントラクトを指していることだ。

攻撃者は秘密鍵が漏洩したユーザーを標的とし、ERC-20トークンの大量転送を自動実行している。

セキュリティ専門家のテイラー・モナハン氏は、EIP-7702自体が根本原因ではないと強調した。

真の問題は、ユーザーが秘密鍵を適切に保護できないという、仮想通貨業界が長年抱える課題にあるという。

攻撃者は既存の脆弱性を悪用し、EIP-7702をコスト効率の良い攻撃ツールとして利用している。

フィッシング攻撃への対策強化が急務

セキュリティ企業SlowMistは、攻撃者がウォレットインターフェースを操作してユーザーを騙し、悪意のあるコントラクトに許可を委任させる可能性があると警告した。

この脅威に対抗するため、ウォレット提供者は委任承認時に対象コントラクトアドレスの表示を優先すべきだと提言している。

SlowMistの創設者である余弦氏は、フィッシング集団が既にアップグレードに適応していることを明らかにし、ユーザーに警戒を促した。

Wintermuteの分析では、このアップグレードが使いやすさを向上させる一方で、攻撃者が大規模な攻撃を実行する障壁を下げているという二面性が指摘されている。

Pectraアップグレードはイーサリアムの継続的なプロトコル改善の一環だが、今回の事件は分散型システムにおける発展とセキュリティの間の緊張関係を浮き彫りにしている。

この問題は、イーサリアムの進化するインフラストラクチャの悪用を軽減するため、ウォレットプロトコルの強化とユーザー教育の必要性を強調している。

安全なweb3ウォレットの利用も推奨される。