暗号資産（仮想通貨）ユーザーのTailTop Re:Born氏は10日、ウォレットの新機能「EIP-7702」に関連する委任状態中に資金が抜かれた可能性があるとして、注意喚起を行った。同氏によると、ソソバリューでロックしていたLPトークンを引き出したところ、ウォレットへ戻った資産が即座に外部へ送金されたという。

EIP-7702は2025年5月のイーサリアム・ペクトラアップグレードで導入された機能で、通常のウォレット（EOA）にスマートコントラクトの機能を一時的に持たせることができる仕組みだ。ガス代の代理支払いやトランザクションの一括処理など利便性が向上する一方、悪意あるコントラクトに委任した場合はウォレットの制御権を奪われるリスクがある。

ベーススキャンでの不明アドレス表示、4チェーンに委任の痕跡

TailTop Re:Born氏は当初、不正なコントラクトにトークンの移転を許可してしまう「Approve被害」を疑い、ベーススキャンで確認したところ、自身のアドレスに「Delegated to：不明なアドレス」という表示を発見。調査の結果、通常のERC-20 Approveとは別枠の、EIP-7702による委任状態であったことを明かした。

同氏によると委任状態はベースだけでなく、イーサリアムやBNBチェーン、ポリゴンにも残存していたという。悪意のあるコントラクトにウォレットの制御権を委任した状態では、着金した資産が自動的に送り出される恐れがあると同氏は警告している。

後の投稿でTailTop Re:Born氏は、委任設定が225日前に行われていた可能性にも言及。特にステーキングやロック資産を持つユーザーは、ロック解除直後に資産が抜かれるリスクがあるとして注意を呼びかけた。

ただし、委任解除後も完全に安全とは言い切れないとの見方も示している。投稿では秘密鍵漏洩や悪質署名、偽サイト接続などが原因になった可能性にも触れられており、TailTop Re:Born氏は「旧ウォレットは監視・回収専用にし、新ウォレットへ移行すべき」と強調している。

ポリマーケット利用者もEIP-7702攻撃の被害、入金中に約23万円が流出

EIP-7702に関連した被害は、直近でも他ユーザーから報告されている。予測市場ポリマーケットの利用ユーザーは8日、入金中にEIP-7702攻撃を受け、1,464USDC（約23万円相当）が流出したことを明らかにしている。

さらに、ウォレット内に残っていた856ドル（約13万円）相当の資産についても、スウィーパーボットが動作しているため出金できない状態だと訴えており、ポリマーケットサポートへ支援を求めている。

EIP-7702は利便性向上を目的とした新機能として注目される一方、ユーザーが気付かないまま危険な委任状態になっている可能性も浮き彫りになりつつある。今回の事例を受け、ウォレットのApprove管理だけでなく、EIP-7702委任状態の確認を含めたセキュリティ管理の重要性が改めて意識されそうだ。

関連：暗号資産の4月ハッキング被害は約1,023億円──件数は過去最多、北朝鮮が76%を占める
関連：DEXワサビ、ハッキング被害──約8.6億円流出、秘密鍵の漏洩が原因か

関連銘柄：ETHBNBPOL

※価格は執筆時点でのレート換算（1ドル＝157円）