Ethereum-Pectra-Upgrade ist da: Was EIP-7702 wirklich für die Wallet-Sicherheit bedeutet
Das Ethereum-Pectra-Upgrade wurde am 7. Mai 2025 auf dem Mainnet aktiviert und stellt die bedeutendste Protokolländerung seit dem Merge im Jahr 2022 dar. Das Upgrade bündelt 11 EIPs, aber EIP-7702 sticht hervor, da es direkt die Funktionsweise von User-Wallets verändert – und es bringt sowohl echte Sicherheitsverbesserungen als auch neue Angriffsvektoren mit sich, die Nutzer und Wallet-Entwickler verstehen müssen.
Was EIP-7702 bewirkt
Ethereum-Konten gibt es in zwei Typen: externally owned Accounts (EOAs), die durch einen privaten Schlüssel kontrolliert werden, und Contract Accounts, die Code enthalten. Bis Pectra waren diese völlig getrennt. Ein EOA konnte keine Logik ausführen, sondern nur Transaktionen signieren und senden. EIP-7702 ändert dies, indem es einem EOA erlaubt, seinen Code vorübergehend auf eine Smart-Contract-Implementierung zu setzen – für die Dauer einer einzelnen Transaktion.
Das bedeutet, ein EOA kann nun mehrere Operationen in einer atomaren Transaktion bündeln, Gasgebühren für eine andere Adresse sponsern, dApp-bezogene Ausgabenlimits setzen und Social-Recovery-Mechanismen aktivieren – alles Funktionen, die zuvor eine Migration zu einem Smart-Contract-Wallet wie Safe oder Argent erforderten. Das Schlüsselwort ist "temporär": Nach Abschluss der Transaktion wird der Code-Pointer des EOA gelöscht, sofern er nicht explizit neu gesetzt wird.
Der praktische Nutzen: Account-Abstraktion ohne Migration
Vor EIP-7702 standen Nutzer, die Smart-Wallet-Funktionen wollten, vor einer schmerzhaften Wahl: bei einem standardmäßigen EOA bleiben und seine Einschränkungen akzeptieren oder zu einem Contract Wallet migrieren und die Portabilität mit älteren Protokollen verlieren. EIP-7702 hebt diesen Zielkonflikt auf. Standard-MetaMask- oder Rabby-Wallets können nun gebündelte Swaps ausführen, Genehmigungen und Swaps in einer einzigen Transaktion (wodurch die doppelte Gebühren-User-Experience entfällt, die DeFi-Nutzer seit Jahren nervt) und Sitzungen an dApps delegieren, ohne Root-Keys offenzulegen.
Die Gasersparnisse durch Batching sind erheblich. Eine typische DeFi-Interaktion mit einer ERC-20-Genehmigung gefolgt von einem Swap kostet als zwei Transaktionen etwa 150.000–200.000 Gas. Gebündelt über EIP-7702 läuft derselbe Vorgang mit 90.000–120.000 Gas – eine Reduzierung um 30–40%. Bei einem Gaspreis von 10 Gwei und ETH zu 2.500 $ sind das etwa 0,50–1,00 $ pro Interaktion – einzeln gering, in großem Maßstab signifikant.
Die neue Angriffsfläche
Die Flexibilität von EIP-7702 bringt Risiken mit sich, die es zuvor nicht gab. Wenn Sie eine EIP-7702-Autorisierung signieren, autorisieren Sie Ihr EOA, Code von einer von Ihnen angegebenen Contract-Adresse auszuführen. Wenn diese Contract-Adresse bösartig ist oder Sie eine Autorisierung für einen legitimen Contract signieren, der später durch einen Exploit oder ein Proxy-Upgrade kompromittiert wird, kann Ihr EOA in einer einzigen Transaktion geleert werden.
Die Autorisierungssignatur enthält eine Chain-ID und einen Nonce, die einfache Replay-Angriffe verhindern. Aber Phishing-Angriffe sind jetzt noch mächtiger: Eine bösartige Site kann eine EIP-7702-Autorisierung anfordern anstatt einer Standard-Transaktionsgenehmigung, und Nutzer, die auf "Signieren" klicken, ohne das Payload zu lesen, delegieren Contract-Level-Zugriff auf ihr Konto. Ledger und Trezor haben beide ihre Firmware aktualisiert, um EIP-7702-Autorisierungen mit expliziten Warnungen anzuzeigen. MetaMask hat im April 2025 Version 12.5 speziell veröffentlicht, um die EIP-7702-Autorisierungsparsing in seine Transaktions-UI aufzunehmen.
Was Wallet-Entwickler tun müssen
Das Sicherheitsmodell für EIP-7702 lautet: Autorisiere niemals Code, den du nicht auditiert hast, und behandle Autorisierungsanfragen mit derselben Sorgfalt wie die Übertragung deines gesamten Wallet-Guthabens. Wallet-Software, die die Zieladresse der Delegation nicht klar parst und anzeigt, ist ein Sicherheitsrisiko.
Für Entwickler, die auf EIP-7702 aufbauen, haben Alchemy und Pimlico aktualisierte SDK-Unterstützung bereitgestellt. Der ERC-7579-Modular-Smart-Account-Standard funktioniert gut mit 7702-fähigen EOAs und bietet eine standardisierte Schnittstelle für Wallet-Module. Die meisten großen DeFi-Protokolle – Uniswap, Aave, Curve – haben ihre Frontends noch nicht aktualisiert, um EIP-7702-Batching zu nutzen, aber Uniswap Labs bestätigte in einem Blogpost vom April 2025, dass die Integration für Uniswap v4 in Arbeit ist.
Die anderen Pectra-Änderungen, die man kennen sollte
EIP-7251 erhöht das maximale effektive Validator-Guthaben von 32 ETH auf 2.048 ETH. Dies reduziert die Anzahl der aktiven Validatoren, die für große Staker (Börsen, Staking-Pools) erforderlich sind, ohne das Minimum von 32 ETH zu ändern. Lido, Rocket Pool und Coinbase werden in der Lage sein, Validator-Operationen zu konsolidieren und ihre Node-Infrastrukturkosten zu senken. Dies betrifft einzelne Staker mit 32 ETH nicht.
EIP-7691 verdoppelt den Blob-Durchsatz von 3 Blobs pro Block (Ziel) / 6 (max) auf 6 / 9. Blobs – eingeführt mit EIP-4844 im März 2024 – sind der primäre Datenkanal für Layer-2-Rollups. Die Verdopplung der Blob-Kapazität senkt direkt die L2-Transaktionskosten. Base, Arbitrum und Optimism verzeichneten in der ersten Woche nach der Pectra-Aktivierung einen Rückgang der Posting-Kosten um 30–50%.
Handlungsempfehlungen
- Aktualisieren Sie jetzt Ihre Wallet-Software: MetaMask 12.5+, Rabby 1.98+ und die neueste Version von Rainbow enthalten alle EIP-7702-Autorisierungswarnungen. Ältere Versionen zeigen 7702-Autorisierungen als unleserliches Hex an, was Phishing trivial macht.
- Behandeln Sie EIP-7702-Autorisierungsanfragen wie Private-Key-Anfragen: Sie gewähren Contract-Level-Zugriff auf Ihr Konto. Signieren Sie niemals eine auf einer Website, die Sie nicht unabhängig überprüft haben.
- Wenn Sie L2s (Base, Arbitrum, Optimism) nutzen: Die Transaktionskosten sind nach Pectra niedriger. Die Erhöhung der Blob-Kapazität ist bereits in Kraft.
- Wenn Sie einen Validator mit mehr als 32 ETH betreiben: Konsolidierung zu höherwertigen Validatoren ist jetzt über EIP-7251 möglich. Überprüfen Sie den Konsolidierungszeitplan Ihres Staking-Anbieters.