Edgen Crypto·Sep 22 2025, 19:24블록체인 마켓 메이커 Wintermute는 5월 7일 이후 모든 이더리움 개선 제안 7702 (EIP-7702) 승인의 거의 절반이 범죄 활동, 주로 피싱 및 자금 절도와 관련되어 있으며, 이는 이 기능의 보안에 대한 이전 보증과 직접적으로 상반된다는 연구 결과를 발표했습니다.
블록체인 마켓 메이커 Wintermute의 연구에 따르면 5월 7일 이후 모든 이더리움 개선 제안 7702 (EIP-7702) 사용자 승인의 48%가 피싱 및 자금 절도와 같은 범죄 활동과 관련되어 있습니다. 이 발견은 해당 기능의 보안 이점에 대한 이전 주장과 모순되며, 새로운 이더리움 개선 제안에 대한 면밀한 조사를 촉발하고 EIP-7702 구현에 대한 재평가를 요구합니다.
Pectra 하드 포크의 일부로 도입되어 올해 초 이더리움 메인넷에 배포된 EIP-7702는 사용자 경험과 보안을 향상시키도록 설계되었습니다. 이 기능은 외부 소유 계정(EOA)이 거래 중에 임시로 스마트 계약 지갑 역할을 하도록 허용하여, 계정 구조를 영구적으로 변경하거나 새 지갑으로 마이그레이션할 필요 없이 거래 일괄 처리, 가스 후원 및 고급 프로그래밍 가능성과 같은 기능을 가능하게 합니다. 이더리움 공동 설립자 비탈릭 부테린은 이전에 EIP-7702가 사용자에게 "초능력"과 "안전장치"를 제공할 것이라고 언급하며, 향상된 기능과 함께 강력한 보안을 암시했습니다.
그러나 Wintermute의 분석은 상당한 보안 취약점을 드러냈습니다. 5월 7일 이후 기록된 1,580,930건의 EIP-7702 활성화 중 768,275건이 범죄 관련으로 분류되었습니다. Wintermute에 따르면 "범죄" 분류는 외부 소유 계정에서 자금을 자동으로 쓸어가는 프로그램된 위임 계약을 의미합니다. 5월 30일까지 Wintermute는 모든 EIP-7702 위임의 97% 이상이 손상된 주소에서 들어오는 이더리움을 자동으로 빼내도록 설계된 이러한 "청소기" 계약에 승인되었다는 것을 관찰했습니다. 평균적으로 EIP-7702는 매일 약 6,285건의 거래에 사용되며, 이는 전체 이더리움 거래의 약 0.37%를 차지합니다.
EIP-7702 승인과 관련된 범죄 활동의 만연은 광범위한 이더리움 생태계와 투자 심리에 중대한 영향을 미칩니다. 2025년 8월, EIP-7702 기반 악용을 활용한 피싱 사기로 인해 1200만 달러 이상의 손실이 발생했으며, 15,000명 이상의 피해자가 발생했습니다. 이 수치는 7월 대비 피해자 수가 67% 증가하고 금전적 손실이 72% 증가한 것을 나타냅니다.
EIP-7702의 설계는 특히 tx.origin 식별자와 관련하여 이더리움 내의 오래된 보안 가정에 도전합니다. 이 식별자는 전통적으로 EOA와 스마트 계약을 구별하는 데 사용되었지만, 위임된 EOA가 순수 EOA를 모방할 수 있으므로 손상될 수 있습니다. 이러한 취약점은 tx.origin 검사에 의존하는 분산형 금융(DeFi) 프로토콜 및 거버넌스 시스템을 불안정하게 만들 수 있습니다. 인식된 보안 위험은 새로운 이더리움 개선 제안에 대한 주의 증가, EIP-7702 채택 감소 가능성, 사용자들 사이의 피싱 위험 인식 고조로 이어질 수 있습니다. 장기적으로 이러한 발견은 EIP-7702 구현에 대한 재평가와 향상된 보안 감사에 대한 집중을 필요로 할 수 있으며, 이는 미래 업그레이드를 지연시키거나 사용자 신뢰를 회복하기 위한 중요한 수정으로 이어질 수 있습니다.
Wintermute의 연구팀은 이러한 위험을 완화하기 위해 적극적으로 노력해 왔으며, 악의적인 위임 계약을 식별하고 사용자에게 경고하는 "CrimeEnjoyor"라는 도구를 개발했습니다. 이 도구는 손상된 지갑에서 자금을 자동으로 쓸어내도록 설계된 계약을 특별히 표시합니다. 보안 회사 Scam Sniffer도 이러한 악용에 대해 보고했으며, 5월 23일 한 이더리움 사용자가 여러 악의적인 일괄 거래에 서명하여 146,550달러를 잃은 사례를 언급했습니다. 전문가들은 EIP-7702가 이더리움의 기능을 확장하지만, 현재 강력한 검증 부족으로 인해 합법적인 인프라와 악의적인 악용을 구별하기 어렵다고 지적하며, 특히 신규 사용자에게는 더욱 그렇다고 말합니다.
EIP-7702 문제는 증가하는 암호화폐 범죄를 배경으로 전개됩니다. 2025년 5월, 범죄로 인한 총 암호화폐 손실은 26건의 사건에서 6억 4,700만 달러에 달했으며, 이는 연간 누계 총액이 35억 달러에 육박합니다. 스마트 계약 악용으로 인해 이러한 손실 중 2억 4,240만 달러가 발생했습니다. EIP-7702 내의 위임 메커니즘은 스마트 계약을 승인하기 위해 setcode 트랜잭션에 의존하며, 피싱 공격의 중요한 벡터로 부상했습니다. 편의성과 유용성을 우선시하는 EIP-7702의 설계는 주의를 간과했을 가능성이 있다고 지적되었습니다. 위험을 완화하기 위해 업계 모범 사례는 이제 부여된 권한에 대한 명확하고 사람이 읽을 수 있는 설명을 제공하는 평판 좋은 지갑 공급자를 사용하는 것, 결과를 미리 볼 수 있도록 거래 시뮬레이션을 사용하는 것, 그리고 잠재적 취약점에 대한 정보를 계속 얻는 것의 중요성을 강조합니다. 이러한 조치는 사용자가 새로운 프로토콜 기능으로 인한 복잡성을 탐색하는 동시에 악용에 대한 노출을 최소화하도록 지원하는 것을 목표로 합니다.