你是否想过，与 DApp 交互时能如丝般顺畅？一键完成授权+交易，甚至让项目方为你支付 Gas 费？以太坊提出的 EIP-7702 正是为此而来，它被视为实现账户抽象的关键一步，让普通钱包拥有智能合约钱包的功能。

但这项便利的创新，正演变成黑客的利器，为用户资产安全带来威胁。

EIP-7702 可以被看作是你加密钱包的「智能管家」。平时你的钱包只有你能操作，但通过 EIP-7702，你只需签名一次「授权（authorization）」交易，就能授权一段代码全权代你操作，比如批量转账、代付 Gas 费等。

这种设计本意是为了提升效率，解决传统钱包的一些痛点，例如合并多步操作为一笔交易、支持第三方代付 Gas 费、未来还可支持游戏等场景下的免签名「会话密钥」。

听起来很方便，但问题在于：如果你授权的是伪装成管家的恶意代码，那你就相当于把钱包的「万能钥匙」交给了骗子，他们可以在你毫无察觉的情况下盗走资产。

尽管 EIP-7702 的设计初衷良好，但它也带来了新的安全问题。根据 Dune 数据显示，截至 2025 年 6 月，约有 7.9 万笔授权交易，涉及 4.8 万个地址，超过 97% 的授权都流向了单一的恶意合约，超 65% 的资金最终流入同一个黑客地址（0×8938…e704）。

这一系列数据揭示：大量用户在不知情的情况下，将自己钱包的控制权拱手让给了攻击者，攻击已高度自动化和规模化。

案例一：空投诱饵，一签归零

小王在社交平台看到某热门项目的「官方空投」链接，声称连接钱包签名即可领取奖励。点击链接后，钱包弹出签名请求，界面只显示一串难以辨认的哈希值（Hash）。小王误以为是普通登录验证，习惯性点击「确认」。

实际上，这个签名请求正是诈骗分子利用 EIP-7702 设计的恶意授权操作，授权后，骗子便以极高效率扫描并转走了钱包中的 ETH、USDT 和 NFT。当小王再次查看钱包时，资产已被全部转走。

案例二：私钥泄露 + EIP-7702 授权

小李的电脑曾中病毒，导致私钥泄露，但他未察觉。黑客在等待他资产积累，等待时机一次盗走。

过去，黑客需要多笔交易才能将受害者钱包中的多种代币完成转移，成本高且容易引发安全警报。借助 EIP-7702，他们只需用窃取的私钥签署一笔委托授权，就能为小李的钱包设置一个「清扫器」作为智能管家。如下，黑客只需一笔操作，即可在用户毫不知情的情况下，全面控制其资产。

（用户委托授权给恶意合约的 EIP-7702 交易）

imToken 安全团队提醒：

为了从源头上保护用户资产，imToken 当前不支持触发 EIP-7702 授权。这意味着，只要你通过 imToken 官方 App 进行操作，就不会触发此类恶意授权，可以有效规避相关⻛险。

我们建议：

• 不要轻易使用 EIP-7702 delegation 功能，暂时避免使用不熟悉的钱包或插件进行 EIP-7702 操作，直到市场安全机制更完善。

• 不要签署你不理解的交易，尤其是涉及授权类的交互。

• 使用工具定期查看授权记录，推荐使用 Revoke.cash， Allowance、etherscan.io 的「Authorizations (EIP-7702)」栏目，按月检查并撤销不明授权。