Contents
EIP-7702のバッチトランザクション機能が悪用され、ユーザーが署名しただけで複数資産を同時に失う構造となっていた
被害額は約154万ドル相当で、実際に奪われたトークンにはwstETH、cbBTCなど高額資産が含まれていた
詐欺はUniswapを模した偽インターフェース経由で行われ、署名内容を精査しないユーザー心理が悪用された
Ethereum自体や関連するプロトコル、ラップ資産(wstETH・cbBTC)に対する信頼や価格変動の影響が懸念される
対策として、ウォレット署名時の確認習慣、UIの改善、セキュリティ教育が業界全体で急務とされている
EIP‑7702フィッシング詐欺による約154万ドルの損失について
2025年8月24日時点において、ある暗号資産投資家がEIP‑7702のバッチトランザクション機能を悪用したフィッシング詐欺により、約1.54百万ドル(約154万ドル)の資産を失ったと報告されています。被害には、wrapped Ethereum(wstETH)やwrapped Bitcoin(cbBTC)などの複数のトークンが含まれます。
詐欺では、Uniswapなどの正規のDeFiプラットフォームを模した偽インターフェースが用いられ、投資家がバッチトランザクションに署名する流れで、意図しないトークン送金やNFT承認が実行され、資産が瞬時に奪われました。
背景:EIP‑7702とは何か
EIP‑7702はEthereumのPectraアップグレードで導入された機能で、バッチトランザクションの実装、ガスのスポンサーシップ、および支出制限などを一つのトランザクションで実行可能にするものです。通常、EOA(外部所有アドレス)では対応しづらかった機能の拡張が可能となり、正当な用途では利便性を高める役割があります。
しかし、ユーザーの理解不足により、悪意ある第三者がこの仕組みを利用して、バッチトランザクションに巧妙に悪意ある操作を隠し、被害者の資産を迅速に奪ってしまうケースが発生しています。
詐欺の手口と被害の詳細
- 被害者は、偽のDeFiインターフェース(例:Uniswapを模倣)に誘導され、ウォレットにバッチトランザクションへの署名を求められます。
- その署名により、複数のトークン送金やNFT承認などが同時に実行され、不正に資産が流出されます。
- SlowMistの創設者であるYu Xiang氏は次のように解説しています。 「ユーザーはフィッシングサイトを開き、ウォレットの署名プロンプトが表示され、クリックして確認してしまう。たった一回の操作で資産が瞬時に消えてしまうのです」。
- 市場形成者Wintermuteの分析によれば、90%以上のEIP‑7702による委任(delegations)が悪意あるコントラクトに関連しているとのことです。
継続する被害とこれからのリスク
- CoinCentralによれば、1.54百万ドル相当の資産流出が確認されているほか、類似の事例としてNFTを含む1百万ドル相当の被害も今週中に発生しています。
- Bitgetは、SlowMist創設者Cosine氏がScam Snifferの警告を再投稿したことを取り上げています。今回の詐欺は既に組織化された手口であり、MetaMaskのEIP‑7702 Delegatorを悪用して、ユーザーのEOAを委任型スマートアカウントに変え、その後複数のトークン移動を一括で実行する形式となっています。
対策と注意喚起
- Scam Snifferおよびセキュリティ専門家は、ユーザーに対して以下のような対策を呼びかけています:
- バッチトランザクション署名前に、サイトの正当性やドメインを十分に確認すること
- 無制限のトークン承認や、予期せぬ契約アップグレードの要求には慎重になること
- アクション内容が明確でない署名リクエストは拒否すること。
- Ethereumウォレット側やプロトコル開発者には、それらを可視化し警告する機能の強化が求められています。EIP‑7702のように利便性向上を目的として導入された機能でも、悪用リスクが併存するため、プロトコルの修正やユーザー教育の強化が急務です。
EIP-7702フィッシング詐欺の影響を受ける可能性のあるコイン一覧
| コイン名 | 影響度 | 理由 |
|---|---|---|
| Ethereum(ETH) | 高 | EIP-7702自体がEthereumのアップグレードで導入された機能であり、その安全性や仕様に関する不信感が高まる可能性があるため。特に個人投資家層の売り圧や新規参入の足踏み要因となり得る。 |
| Lido Staked Ether(stETH, wstETH) | 中〜高 | 今回の詐欺で実際に送金された資産に含まれており、stETH関連のDeFiプロトコル利用への警戒感が広がる可能性がある。Lidoの流動性や信頼性に対する懸念も影響する可能性がある。 |
| Wrapped Bitcoin(WBTC, cbBTC) | 中 | 被害対象トークンとして含まれていたことから、Ethereum上でラップされたBTC資産全体への利用警戒感が出る可能性がある。ただし基盤となるBTC自体には直接の影響は小さい。 |
| Uniswap(UNI) | 中 | 詐欺インターフェースがUniswapを偽装していたため、ブランドへの信頼低下やUIの安全性に対する懸念が浮上する可能性がある。ただしプロトコルの根本的な欠陥ではないため中程度にとどまると予測される。 |
| MetaMask(トークンなし) | 間接的 | MetaMaskが署名プロンプトの主要ツールであるため、ユーザー体験と署名インターフェースに対する批判が出る可能性あり。MetaMask SnapやDelegatorの設計が見直される契機になるかもしれない。 |
| Scam Sniffer関連トークン(例:GoPlus Tokenなど) | 小〜中 | セキュリティアラート提供者として注目度が上がる一方、市場価格への直接影響は限定的。ただし注目を集めることで一時的にトークン価値が上昇するケースもあり得る。 |
考察
EIP‑7702は確かに画期的な機能をEthereumにもたらしましたが、それを適切に理解しないまま利用されると、今回のように多大な損害につながります。仮想通貨の世界では、新しい技術とその脆弱性が表裏一体で存在することを踏まえ、以下の点が特に重要だと感じます。
- ユーザー教育の徹底:どれだけ新しい標準であっても、署名を求められたそのトランザクション内容を「一点ずつ理解して確認する習慣」が不可欠です。
- ウォレットインターフェースの改善:今回のような隠れたバッチトランザクションの内容を可視化・警告できるUIが標準装備されるべきです。
- プロトコル設計の慎重さ:利便性と安全性のバランスは、ユーザー視点で常に検証しながら導入されるべきだと改めて感じます。
今後、EIP‑7702やその他新規のEthereum機能に対して、自らの知識と警戒心を怠らない姿勢が、資産を守る最善策となります。
仮想通貨イーサリアム(Ethereum/ETH)の購入について
複数の海外取引所を併用するメリットについて
取引所毎にお得なキャンペーンが行われていたり、口座を開設して入金するだけでボーナス・ポジションが得られたり、よりハイレバレッジで先物取引を出来たりします。
その時に行われているキャンペーン次第では実質ノーリスクでトレードを楽しむことも可能です。
海外取引所によっては、直接国内取引所から送金できない取引所も存在するので、そういった場合はメタマスクのようなプライベートウォレットを利用して送金を間に挟む必要があります。
メタマスクの導入についてはこちらの記事を参考にしてください!
【初心者向け】メタマスク(MetaMask)とは?導入方法図解解説!
仮想通貨イーサリアム(Ethereum/ETH)は以下の取引所で購入出来ます!
何かわからないことがありましたら、クリバズ公式LINEへ質問をどうぞ!
クリプトバズニュース公式LINE=クリバズ公式LINEはこちら
Leave a Reply