Satu eksploit pancingan canggih telah muncul yang mensasarkan pemegang World Liberty Financial (WLFI), token tadbir urus yang berkaitan dengan ekosistem kripto Donald Trump. Firma keselamatan telah mengenal pasti bahawa penyerang menggunakan satu kelemahan yang diperkenalkan oleh peningkatan Pectra Ethereum—khususnya, mekanisme delegasi EIP-7702—untuk menanam kontrak jahat ke dalam dompet yang telah dikompromi. Apabila mangsa cuba mendepositkan token ETH atau WLFI, kontrak delegasi terbina secara automatik mengarahkan dana kepada alamat yang dikawal oleh penyerang, menyebabkan pengguna tidak dapat memulihkan aset mereka.
Vector eksploit ini berpusat pada ciri EIP-7702, yang direka untuk membolehkan transaksi berkelompok dan operasi delegasi. Walaupun bertujuan untuk memudahkan interaksi pelbagai panggilan, keupayaan delegasi ini menjadi pedang bermata dua: penyerang terlebih dahulu memasukkan alamat delegasi mereka ke dalam dompet sasaran selepas kebocoran kunci, yang sering dicapai melalui kempen pancingan data. Sebaik sahaja pengguna yang tidak curiga mengesahkan delegasi tersebut, sebarang pemindahan berikutnya—sama ada ETH asli atau token ERC-20 seperti WLFI—akan dialihkan ke kontrak penggodam, melangkaui pemeriksaan kelulusan standard.
Laporan dari forum komuniti WLFI menunjukkan bahawa beberapa pelabur hanya berjaya menyelamatkan sebahagian kecil pegangan mereka—kira-kira 20% dalam beberapa kes—sebelum menyedari kehilangan yang tidak dapat dipulihkan. Firma analitik Bubblemaps turut menandakan"klon berbungkus" yang meniru kontrak rasmi WLFI, yang menambahkan kekeliruan pengguna dan menghala mereka ke antara muka palsu. Pautan scam merebak di Telegram dan X, memburukkan lagi skala dan impak serangan.
Eksploit ini menambah kerugian bagi pemegang WLFI yang sudah menghadapi penurunan harga tajam selepas token itu memulakan dagangan secara meluas. Peningkatan Pectra, walaupun bertujuan meningkatkan fungsi dompet, menekankan kepentingan protokol audit yang ketat dan integrasi berhati-hati ciri EVM baru. Pakar keselamatan mengesyorkan supaya semua kebenaran delegasi dibatalkan melalui antara muka dompet, memindahkan aset baki ke alamat baru yang dihasilkan dengan storan kunci air-gapped, dan menunggu panduan dari komuniti atau protokol berkenaan teknik mitigasi. Semasa insiden ini berkembang, sektor ini menghadapi pengawasan semula berkaitan keseimbangan antara inovasi dan keselamatan dalam piawaian kontrak pintar.
Komen (0)