钓鱼团伙正利用大量已泄露私钥的地址进行欺诈，与 EIP-7702 的结合让钓鱼团伙可以获得已泄露私钥地址的账户管理权限。同时，这些诱饵地址还具有丰富的历史交易记录，普通用户很容易放松警惕，因为贪心诱饵地址中的余额而转入 Gas，导致被盗。

案例一

1.地址 0x000085bad5b016e5448a530cb3d4840d2cfd15bc 在ETH上部署了多个恶意 Delegator 合约 0x930fcc、0x1f0733、0x9eece7。

2.之后，通过地址 0x9d1ff3a11f7791c6bff9399aafd5a4eaffc83efb 和自动化脚本将大量已泄露私钥的地址授权给恶意 Delegator 合约，完成诱饵设置。

3.将这些设置好的诱饵地址通过各类渠道和社工方法传播给普通用户，利用意外泄露助记词 / 私钥话术诱导用户只需要转入少量的 Gas 费就可以将地址中的剩余资产转出。

4.因为对 7702 原理不熟悉，而且又直接获得了地址私钥，普通用户通常会放松警惕，心想转入少量 Gas 也并没有多大风险，极可能并诱导向诱饵地址中转入小额 Gas。由于诱饵地址已经授权了恶意的 7702 Delegator，小额 Gas 一旦转入就会立即被转移到地址 0x000085 中。

案例二

1.地址 0x86d9AD92FC3F69CC9C1a83aFF7834fEA27f1fFF2 在ETH 、BSC、Base 上部署恶意 Delegator 合约

0x89046d34E70A65ACAb2152C26a0C8e493b5ba629。

2.此案例中的恶意 Delegator 合约（0x89046d）比案例一的更复杂，除了会自动转移主币外，还可以通过第三方地址（0x4791eb）进行合约调用，主动转移主币和各类 Token。之后，欺诈团伙使用自动化脚本将大量已泄露私钥的地址授权给此恶意 Delegator 合约，完成诱饵设置。

3.将这些设置好的诱饵地址通过各类渠道和社工方法传播给普通用户，并诱导用户转入小额主币和 Token。

4.由于诱饵地址已经授权了恶意的 7702 Delegator，小额 Gas 和 Token 一旦转入就会被立即转移到地址 0x77dd9a93d7a1ab9dd3bdd4a70a51b2e8c9b2350d 中。

GoPlus 安全建议

1、用户需要提高警惕，天上不会掉馅饼，任何附带私钥 / 助记词的“赠与”都应视为风险，不要因为好奇心或贪婪驱使而轻易的进行签名授权，更不要向任何陌生地址转账。

2、与 Tron 多签骗局和 Solana 权限变更骗局类似，利用已泄露私钥的地址，欺诈团伙正基于 EIP-7702 将此类骗术扩展到 EVM 生态链。

详细内容请参考：

https://academy.binance.com/en/articles/what-are-multisig-scams-and-how-to-avoid-them

3、据 WinterMute 统计目前 98% 的 EIP-7702 授权指向了多个恶意 Delegator 合约，从案例一只能自动转移主币，到案例二自动转移主币和 Token，此类的骗局的危害正在迅速扩大。GoPlus 呼吁所有 EVM 生态钱包、安全、DEX 等相关项目方密切关注 7702 安全问题，及时在产品内拦截或提醒用户避免。

4、学习区块链知识对不同公链的运行机制保持基本了解，能够帮助你快速识破类似骗局。遇到问题，及时找 GoPlus 或专业的安全专家寻求建议，不要贸然行动。