以太坊生態系統始終在進化，致力於為用戶提供更安全、流暢的體驗。作為2025年5月Pectra升級的核心部分，以太坊改進提案EIP-7702備受矚目。 它旨在賦予我們常用的普通以太坊賬戶（EOA）臨時的智能合約能力，極大地提升了操作的便捷性。然而，這項強大的功能也催生了一種不容忽視的新型安全風險：EIP-7702釣魚攻擊。

本文將深入淺出地解析EIP-7702是什麼，它是如何工作的，以及為何我們需要對相關的新型釣魚風險保持高度警惕。

EIP-7702是什麼：為你的普通錢包解鎖「臨時超能力」

簡單來說，EIP-7702是一個技術標準，它允許用戶在不更換錢包的情況下，讓自己的普通賬戶（EOA）在單筆交易中臨時獲得類似智能合約賬戶的強大功能。

我們可以用一個生動的比喻來理解：

• 普通賬戶 (EOA)：就像一把普通的家門鑰匙，功能單一。每次只能做一件事，比如開門或鎖門。如果你想在去中心化應用（DApp）中完成一次「授權代幣」再加一次「兌換」操作，就需要分別簽名確認兩次。

• 智能合約賬戶：則像一套智能家居系統。你只需按下一個「回家模式」按鈕，系統就能自動完成開門、開燈、播放音樂等一系列預設動作。這被稱為「批量處理交易」。

EIP-7702的作用，就是給你的「普通家門鑰匙」附加一項「臨時超能力」。在單次交易中，它能像智能家居系統一樣，執行一連串複雜的指令。 這意味著用戶無需更換錢包，就能享受到批量處理交易、由第三方代付燃料費（Gas Fee）等賬戶抽象（Account Abstraction）帶來的便捷功能。

工作原理：EIP-7702如何實現「臨時賦能」？

EIP-7702的實現方式十分巧妙。它引入了一種新的交易類型，允許用戶在發起交易時，附帶一個特殊的授權簽名，這個簽名指向一段預設好的合約代碼。

整個過程可以類比為你給一位信得過的管家一張附有明確指令的「一次性授權卡」：

1. 簽署授權：你（用戶）首先需要簽署一個特殊的數字簽名。這相當於在「一次性授權卡」上寫下指令，例如：「授權在本次任務中，允許從我的A賬戶轉10個幣到B地址，並用我的C代幣支付手續費」。

2. 臨時代理：這張「授權卡」會隨你的交易一同被發送到網路上。在這筆交易執行期間，你的賬戶會臨時獲得執行卡上複雜指令的能力，彷彿被一個智能合約代理了。

3. 執行與復原：交易一旦完成或失敗，這種「超能力」會立刻消失，你的賬戶恢復成一把普通的鑰匙，彷彿什麼都沒發生。

這種「用完即走」的設計，在不根本改變EOA賬戶結構的前提下，提供了巨大的靈活性，被視為以太坊用戶體驗的一次重要飛躍。

核心風險：警惕已造成百萬損失的EIP-7702釣魚攻擊

然而，正是這種強大的「一次性授權」能力，成為了新型EIP-7702釣魚攻擊的溫床。由於該功能相對較新，攻擊者利用用戶的不熟悉，精心構造授權陷阱，已經造成了嚴重的資產損失。

這種攻擊的模式，好比一個偽裝成快遞員的騙子，遞給你一張看似是普通收貨單的「授權卡」讓你簽名。但在這張單據的細則裡，卻用難以察覺的文字寫著：「授權此人進入你的保險櫃，並拿走所有財物」。一旦你簽了字，哪怕只有這一次，後果也將是災難性的。

EIP-7702釣魚的原理與此高度相似：

• 偽裝介面：攻擊者會創建看似合法的釣魚網站，比如一個虛假的空投領取頁面、一個仿冒的去中心化應用（DApp）或是看似無害的紀念NFT鑄造網站。

• 誘導簽名：當你點擊「領取空投」或「確認交易」按鈕時，錢包會彈出一個簽名請求。這個請求的介面可能看起來很正常，甚至與普通交易無異，但實際上，你正在簽署一個惡意的EIP-7702授權。

• 資產被盜：一旦簽名，你就賦予了攻擊者編寫的惡意合約極高的權限。在接下來的交易中，該合約可以執行批量操作，瞬間將你錢包中的多種代幣和NFT資產一次性全部轉走。

根據多家區塊鏈安全公司的報告，自Pectra升級上線後，已出現多起利用EIP-7702的釣魚攻擊，部分攻擊由名為#InfernoDrainer等專業釣魚團夥發起。 在一些案例中，受害者因一次錯誤的簽名，損失了價值數萬甚至超過150萬美元的加密資產。 這為我們敲響了警鐘：在享受技術革新帶來的便利時，必須加倍警惕潛藏的安全風險。

防範實戰指南：用戶如何規避授權陷阱？

雖然EIP-7702釣魚具有極強的迷惑性，但通過遵循以下良好的安全習慣，我們可以極大地降低被盜風險：

1. 終極法則：仔細審查每一次簽名請求 任何時候，錢包彈出的簽名請求都是保護資產的最後一道防線。不要急於點擊「確認」。花時間仔細閱讀授權的內容和對象，特別是那些請求「Set Approval For All」或涉及EIP-7702等不熟悉授權類型的請求。如果你看不懂或有任何懷疑，最安全的選擇就是直接拒絕。

2. 善用安全工具與安全錢包 選擇信譽良好、有持續安全更新的錢包。許多主流錢包正在或已經推出針對新型簽名（如EIP-7702）的優化介面，它們會通過交易模擬等方式，更清晰地展示簽名的具體後果（如「將轉移您的所有資產」），幫助你識別潛在風險。

3. 實行嚴格的資產隔離 這是最有效、最普適的安全策略之一。不要用存放大量資產的「金庫錢包」與任何DApp進行日常交互。你應該準備一個只存放少量資金的「日用錢包」（或稱「熱錢包」），專門用於體驗新項目、領取空投等高風險操作。即使日用錢包受損，也能將損失控制在最小範圍。

4. 交叉驗證資訊來源 對任何「天上掉餡餅」的好事保持懷疑。無論是空投、白名單還是高收益承諾，都務必通過官方渠道（如官方網站、官方X賬號、官方Discord社區）反覆核實其真實性。永遠不要點擊來歷不明的連結，也不要掃描來源不明的二維碼。

總結：在擁抱便利與防範風險間取得平衡

EIP-7702無疑是推動以太坊向更佳用戶體驗邁出的重要一步，它讓數億普通賬戶（EOA）用戶得以享受賬戶抽象的諸多便利。但正如歷史反覆證明的，技術進步總是與新的安全挑戰並存，EIP-7702釣魚正是當前我們需要正視的核心風險之一。

對於每一位用戶而言，擁抱創新的前提是建立牢固的安全意識。這意味著我們需要持續學習，在每一次鏈上交互中保持謹慎，並善用可靠的工具來保護自己。最終，只有在整個社群共同努力，在便利與安全之間找到恰當的平衡，Web3生態才能健康、可持續地向前發展。

立即展開安全的加密貨幣之旅

免責聲明