È spuntatu nu sofisticatu exploit di phishing ca tinni comu obiettivu li tinnituri di World Liberty Financial (WLFI), lu token di guvernu ligatu a l’ecosistema cripto di Donald Trump. Li cumpagnii di sicurizza hannu identificatu ca l’attaccanti sfruttaru na falla introdutta di l'aggiornamentu Pectra di Ethereum—n particulari, lu meccanismu delegate EIP-7702—pi implanti cuntratti malizziosi ntê wallet cumpromessi. Quannu li vittimi pruvavanu a firmari ETH o token WLFI, lu cuntrattu delegate nseritu redirigiva automaticamenti li funnuna a indirizzi cuntrollati dî attaccanti, lassannu l’utenti senza la pussibbilità di ricuperari li sò asset.
Lu vecturi di exploit gira attornu â funzione EIP-7702, disignata pi permettiri transazzioni a gruppu e operazzioni delegate. Mentri era pinsata pi semplificari li interazzioni multi-call, sta capacità delegate addivintau na spada a dui tagghi: l’attaccanti nsereru preventivamenti lu sò indirizzu delegate ntê wallet mirati a causa dâ fugna di chiavi, spissu attravirsu campagni di phishing. Appena l’utenti nun sapennu autorizzaru lu delegate, ogni trasferimentu successivu—ca si trattava di ETH nativu o token ERC-20 comu WLFI—era rerutatu versu lu cuntrattu dû piratu, scancennu li check standard di appruvazzioni.
I rapporti dî forum di la cumunità WLFI richianu ca diversi investituri riusceru a salvare sulu na fini particulata di li sò detenzioni—intornu ô 20% n certi casi—prima di capiri ca era in corsu na perdita irrehivibbili. La sucità d’analisi Bubblemaps avia puru scuturatu “cloni raggruppati” ca mimavanu i cuntratti ufficiali WLFI, cunfusennu ancora cchiù l’utenti e incanalannuli versu interfacci fraudulenti. Li link d’ingannu si spuagnaru supra Telegram e X, aumentannu la ricanuscenza e l’impattu dû attaccu.
Stu exploit cummina i perduti pi li tinnituri WLFI ca addunanu già di cali forti di prezzu doppu lu debut trading di lu token assai pubblicitatu. L’aggiornamentu Pectra, puru cu lu scopu di arrinesciri la funzionalità di sti wallet, metti ntâ luci l’impurtanza di prutucolli d’auditu rigurusi e d’integrazioni cauti di novi funzioni EVM. L’esperti di sicurizza cunsìglianu di revucari tutti li permessi delegate attraversu l’interfacci dî wallet, migrare l’asset restante a indirizzi di nova ginirazzioni cu storage di chiavi air-gapped, e aspittari li cunsigghi di la cumunità o dâ prutucolu supra tecnichi di mitigazzioni. Mentri l’incidentu si svuluppa, lu settore affronta na rinnovata scrutazioni supra l’equilibriu tra nnuvazioni e sicurizza ntê standard di smart contract.
Cummenti (0)