Дональд Трамптың крипто экожүйесіне байланысты басқару токені World Liberty Financial (WLFI) иелерін нысанаға алған күрделі фишинг шабуылы пайда болды. Қауіпсіздік компаниялары шабуылдаушылар Ethereum-ның Pectra жаңартуының—негізінен, EIP-7702 делегат механизмі арқылы енгізілген олқылықты пайдаланып—зиянкес келісімшарттарды шабуыл жасалған әмияндарға енгізгенін анықтады. Зардап шеккендер ETH немесе WLFI токендерін салуға әрекет жасағанда, енгізілген делегат келісімшарты қаражаттарды автоматты түрде шабуылдаушы бақылауындағы мекенжайларға бағыттап, қолданушыларға активтерін қалпына келтіру мүмкіндігін бермеді.
Шабуылдың басты факторы EIP-7702 функциясына негізделген, бұл пакетпен транзакциялар мен делегат операцияларын жүзеге асыруға арналған. Көп қоңыраулы әрекеттерді оңтайландыруға бағытталғанымен, делегат мүмкіндігі екі жақты қылышқа айналды: шабуылдаушылар кілттердің ұрлануы көбінесе фишинг арқылы жүзеге асырылған кезде, өздерінің делегат мекенжайларын мақсатты әмияндарға алдын ала енгізді. Күмәнсіз қолданушылар делегатқа рұқсат берген бойда, кейінгі кез келген аударымдар—негізгі ETH немесе WLFI сияқты ERC-20 токендері болсын—хакердің келісімшартына қайта бағытталды, стандартты бекіту тексерулерінен өтіп кетіп.
WLFI қауымдастық форумдарының хабарламалары бірнеше инвесторлардың тек активтерінің шамамен 20%-ын ғана сақтап қалғанын көрсетті, қайтарылмайтын шығынды байқамастан бұрын. Bubblemaps аналитика фирмасы ресми WLFI келісімшарттарын еліктейтін “топталған клондар” туралы ескерту жасап, қолданушыларды шатастырып, жалған интерфейстерге бағыттады. Телеграм мен X платформаларында алаяқтық сілтемелер кеңінен таралып, шабуылдың әсері мен ауқымын арттырды.
Бұл шабуыл токеннің жоғары деңгейдегі сауда дебютінен кейін күрт құлдыраған бағалармен күресіп жатқан WLFI иелері үшін шығындарды ұлғайтады. Pectra жаңартуы әмиян функцияларын жақсартуға бағытталғанімен, қатаң аудит протоколдарының және жаңа EVM мүмкіндіктерін мұқият енгізудің маңыздылығын көрсетті. Қауіпсіздік сарапшылары әмиян интерфейстері арқылы барлық делегат рұқсаттарын кері қайтаруды, қалған активтерді жаңадан жасалған мекенжайларға ауыстыруды және кілттерді офлайн сақтау әдісін қолдануды, сондай-ақ қауымдастық немесе протокол деңгейінде азайту әдістері бойынша ұсыныстарды күтіп отыруды ұсынады. Оқиға өршіген сайын, сала смарт келісімшарт стандарттарындағы инновация мен қауіпсіздіктің арасындағы тепе-теңдікке қатысты жаңа қатаң назарға ие болады.
Пікірлер (0)