EIP-7702導入のペクトラ　Wintermuteが指摘するイーサリアムの脆弱性

2025年5月31日、暗号資産取引企業Wintermuteは、イーサリアムの最新アップグレード「ペクトラ」に含まれるEIP-7702（※）にセキュリティ上の懸念があると警告した。

EIP-7702の80％超が悪意あるコントラクトに委任

Wintermuteは、イーサリアムに導入されたEIP-7702が新たな攻撃経路となり得ると指摘した。EIP-7702は、外部所有アカウント（EOA）を一時的にスマートコントラクトウォレットのように振る舞わせることで、ガス代の代行支払い、バッチ処理、ソーシャルログインなどを第三者が行うことを可能にする仕組みである。

しかし、その技術的革新の裏で、委任先の安全性が保証されない問題が浮上した。Wintermuteによると、現在EIP-7702を通じたデリゲーション（委任）の80％以上が、同一の基本コードを持つ複数の悪意あるコントラクトに向けられていた。

これらのコントラクトは「スイーパー」と呼ばれるコードを内包し、秘密鍵が漏洩したウォレットから資金が流入すると、即座に攻撃者のウォレットへ資金を転送する構造となっている。つまり、ユーザーがEIP-7702を使うだけで、気づかぬうちに脆弱性のある委任先と接続してしまう可能性がある。

Wintermuteは、この悪質なコード群を「CrimeEnjoyor」と名付け、Dune上でダッシュボードを公開。また、正規のプロジェクトであるメタマスクやユニスワップにもラベルを付与し、ユーザーが信頼性を確認できるようにしている。

現時点で「CrimeEnjoyor」による被害報告は出ていないが、ユーザーはEIP-7702を利用してデリゲーションを行う際には注意する必要がある。

利便性かリスクか　委任機能に求められる慎重な対応

EIP-7702は、イーサリアムにおけるアカウント抽象化の大きな一歩とされ、ユーザー体験の向上を目的として開発された。従来の外部所有アカウントでもスマートコントラクトのような挙動が可能になることで、手数料負担の柔軟化やUXの改善が期待されていた。

一方で、その一時的な委任機能が攻撃者にとって格好の標的となり得ることが露呈した形だ。委任先コントラクトが悪質なコードを含んでいた場合、ユーザーの資金は一瞬で奪われかねない。

セキュリティ企業SlowMistも、EIP-7702を活用する際は、委任先のコントラクトコードの内容を可視化・検証すること、また秘密鍵管理の徹底が必要だと警告している。特に、EIP-7702は取引時のみに権限を一時的に委任する設計であるため、検知や制御が難しく、悪意のあるコードが潜伏しやすい構造となっている。

EIP-7702のような革新的な仕組みは、イーサリアムの機能拡張を加速させる一方で、セキュリティ面でのバランスを慎重に見極める必要がある。

今後、開発者・ユーザー・ウォレット提供者の三者が連携して対策を講じていくことが求められるだろう。

※EIP-7702：Ethereum Improvement Proposal 7702の略。イーサリアムの外部所有アカウント（EOA）を、一定条件下でスマートコントラクトのように動作させるアカウント抽象化機能の提案仕様。2025年の「ペクトラ」アップグレードで導入された。