Sebuah eksploit phishing sing sophistikasi wis muncul nargetaké pemegang World Liberty Financial (WLFI), token pemerintahan sing gegandhengan karo ekosistem kripto Donald Trump. Perusahaan keamanan wis nemtokake yèn penyerang nggunakake celah sing diwènèhaké déning pembaruan Pectra Ethereum—khususé, mekanisme delegate EIP-7702—kanggo nyisipaké kontrak jahat menyang dompet sing kompromi. Nalika korban nyoba nyimpen ETH utawa token WLFI, kontrak delegate sing disisipaké kanthi otomatis ngarahaké dana menyang alamat sing dikendalèkaké penyerang, nggawe pangguna ora bisa mbalèkaké aset.
Vektor eksploitasi iki ngubengi fitur EIP-7702, sing dirancang kanggo ngidini transaksi batch lan operasi delegate. Sanajan dirancang kanggo nyedhiyakake interaksi multi-call sing luwih gampang, kapabilitas delegate iki dadi pedhang bermata loro: penyerang kanthi pre-emptive nambah alamat delegate dhewek menyang dompet target sawisé bocor tombol, biasané liwat kampanye phishing. Sawisé pangguna sing ora curiga nyetujoni delegate, transfer sabanjuré—apa kuwi ETH asli utawa token ERC-20 kaya WLFI—diarahaké menyang kontrak hacker, ngliwati pemeriksan persetujuan standar.
Laporan saka forum komunitas WLFI nuduhaké yèn sawetara investor bisa nylametaké mung sebagian saka simpanané—kira-kira 20% ing sawetara kasus—sadurungé sadar yèn ana pengurasan sing ora bisa dibalekaké. Perusahaan analitik Bubblemaps uga wis mbayangaké"klon bundelan" sing nyontoni kontrak WLFI resmi, nambah kebingungan pangguna lan ngarahaké menyang antarmuka palsu. Link penipuan sumebar ing Telegram lan X, nambah jangkauan lan pengaruh serangan.
Eksploitasi iki nambah kerugian kanggo pemegang WLFI sing wis ngadhepi penurunan rega sing tajem sawisé debut dagang token sing dhuwur. Pembaruan Pectra, sanajan dituju kanggo nambah fungsi dompet, negesaké pentinge protokol audit sing ketat lan integrasi fitur EVM anyar kanthi ati-ati. Pakar keamanan nyaranaké supaya mbatalaké kabeh izin delegate liwat antarmuka dompet, migrasi aset sing isih ana menyang alamat anyar sing digawe kanthi panyimpenan kunci air-gapped, lan ngentèni pituduh saka komunitas utawa protokol babagan teknik mitigasi. Nalika insiden iki terus muncul, sektor ngadhepi pengawasan anyar babagan keseimbangan antarane inovasi lan keamanan ing standar kontrak pinter.
Komentar (0)