Cripto: A atualização Pectra do Ethereum pode ser explorada por hackers

Considerada como um avanço decisivo rumo à abstração de contas, a atualização Pectra já está alterando os equilíbrios de segurança na Ethereum. Introduzindo o padrão EIP-7702, apoiado por Vitalik Buterin, ela permite que as carteiras se comportem temporariamente como contratos inteligentes. No entanto, logo após seu lançamento, essa inovação tem sido amplamente usada de forma maliciosa para automatizar ataques. Longe de eliminar riscos, a evolução do protocolo cria novos, mais sutis, que hackers já apressam-se em explorar.

Uma inovação técnica desviada para fins maliciosos

A nova atualização da Ethereum, chamada Pectra, foi implantada na rede e marcou uma etapa técnica importante, embora o mercado tenha permanecido indiferente a essa evolução.

Segundo Wintermute, empresa de trading quantitativo ativa no ecossistema Ethereum, uma das funcionalidades introduzidas, o EIP-7702, foi amplamente desviada para fins maliciosos. Essa proposta permite que as carteiras adotem temporariamente as capacidades de um smart contract, o que expõe os usuários a ataques automatizados.

A intenção inicial é oferecer mais flexibilidade nas interações on-chain, especialmente através da gestão de transações agrupadas, patrocínio de taxas de gás, ou mesmo integração de sistemas avançados de autenticação.

No entanto, na rede social X (ex-Twitter) em 30 de maio de 2025, a Wintermute revelou que “mais de 80% das delegações EIP-7702 foram autorizadas para contratos maliciosos com o mesmo bytecode copiado e colado”, e apelidou esse script de “CrimeEnjoyor“.

While EIP-7702 brings new convenience, it also introduces new risks

Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9

— Wintermute (@wintermute_t) May 30, 2025

Este script rudimentar, porém tremendamente eficaz, explora chaves privadas comprometidas para automatizar o esvaziamento de carteiras cripto. Uma vez implantado, ele suga os fundos de qualquer endereço vulnerável e os transfere para os hackers, sem interação humana.

A análise publicada no dashboard Dune da Wintermute mostra que esse mesmo código é responsável pela maioria das delegações EIP-7702 atuais. Concretamente, os agentes maliciosos:

• Copiam o script CrimeEnjoyor em múltiplos contratos inteligentes;
• Obtêm ou compram chaves privadas comprometidas através de ataques de phishing ou malware;
• Usam o EIP-7702 para forçar a execução automatizada de transações agrupadas que esvaziam as carteiras;
• Transferem os fundos desviados para seu próprio endereço em uma única operação.

O fenômeno não é algo trivial. Segundo Scam Sniffer, um usuário teve quase 150 mil dólares roubados em um ataque ligado a esse sistema, por meio de uma transação em lote associada ao conhecido serviço fraudulento Inferno Drainer.

Uma falha humana mais do que uma falha do protocolo

Para muitos especialistas em segurança cripto, o problema não está tanto no EIP-7702, uma das principais atualizações da Ethereum, mas sim no eterno calcanhar de Aquiles das criptomoedas: a má gestão das chaves privadas pelos investidores.

Taylor Monahan, especialista reconhecida em segurança blockchain, expressa isso claramente: “não é realmente um problema ligado ao 7702. É o mesmo problema que a cripto enfrenta desde o início: os investidores finais têm dificuldade em proteger suas chaves privadas”.

Segundo a especialista, essa nova funcionalidade apenas torna os ataques automatizados mais ágeis e menos custosos de executar, sem ser a causa direta deles.

Por sua vez, a empresa de cibersegurança SlowMist destaca a falta de ferramentas pedagógicas adequadas a essa inovação. Em um relatório publicado recentemente, a empresa enfatiza a necessidade dos provedores de wallets destacarem melhor os contratos-alvo quando um investidor assina uma delegação EIP-7702.

“Os provedores devem rapidamente adaptar suas interfaces e alertar os usuários de forma clara”, declara Yu Xian, fundador da SlowMist, em 25 de maio na plataforma X. Ele também alerta sobre a aceleração dos ataques: “como previmos, os grupos de phishing nos alcançaram”.

Essa constatação destaca uma evolução preocupante. Os cibercriminosos agora se apropriam das inovações técnicas quase tão rapidamente quanto elas são lançadas.

Além do alerta imediato, este caso levanta questões fundamentais sobre a capacidade do ecossistema Ethereum de conciliar inovação rápida e segurança dos investidores. Se o EIP-7702 traz uma verdadeira flexibilidade técnica, ele também impõe uma elevação drástica do conhecimento por parte dos investidores e desenvolvedores de ferramentas. Sem acompanhamento pedagógico nem salvaguardas UI/UX adequadas, esses avanços podem abrir um caminho amplo para hackers e corroer a confiança nas smart wallets do futuro.