Napreden phishing izkoriščanje je ciljano napadlo imetnike World Liberty Financial (WLFI), upravljavskega žetona povezanega s kripto ekosistemom Donalda Trumpa. Varnostna podjetja so ugotovila, da so napadalci izkoristili varnostno luknjo, uvedeno z Ethereumovo nadgradnjo Pectra—natančneje, mehanizem delegiranja EIP-7702—za vstavitev zlonamernih pogodb v kompromitirane denarnice. Ko so žrtve poskušale položiti ETH ali WLFI žetone, je vgrajena delegatna pogodba samodejno preusmerila sredstva na naslove pod nadzorom napadalcev, zaradi česar uporabniki niso mogli obnoviti svojih sredstev.
Vektor izkoriščanja temelji na funkciji EIP-7702, zasnovani za omogočanje skupinskih transakcij in delegiranih operacij. Medtem ko je bila namenjena poenostavitvi večkratnih klicev, je ta delegatna zmožnost postala dvorezen meč: napadalci so predhodno vnesli svoj delegatni naslov v ciljne denarnice po razkritju ključev, kar se pogosto doseže preko phishing kampanj. Takoj ko so neoprezni uporabniki avtorizirali delegata, so bili vsi nadaljnji prenosi—naj gre za domači ETH ali ERC-20 žetone kot je WLFI—preusmerjeni na napadalčevo pogodbo, mimo standardnih preverjanj odobritve.
Poročila iz WLFI skupnostnih forumov nakazujejo, da je nekaj vlagateljev uspelo rešiti le del svojih imetij—v nekaterih primerih približno 20%—preden so spoznali neizbežen odliv. Analitično podjetje Bubblemaps je prav tako zaznalo »združene klone«, ki posnemajo uradne WLFI pogodbe, kar dodatno zmede uporabnike in jih vodi do lažnih vmesnikov. Prevarantske povezave so se hitro širile prek Telegrama in X, kar je še povečalo doseg in vpliv napada.
To izkoriščanje povečuje izgube za imetnike WLFI, ki se že soočajo z močnim padcem cene po visokoprofilni trgovinski premieri žetona. Nadgradnja Pectra, čeprav namenjena izboljšanju funkcionalnosti denarnic, poudarja pomen strogih revizijskih protokolov in previdne integracije novih EVM funkcij. Varnostni strokovnjaki priporočajo preklic vseh delegatnih dovoljenj preko vmesnikov denarnic, prenos preostalih sredstev na sveže ustvarjene naslove z zrakom ločeno shrambo ključev ter počakajo na smernice skupnosti ali protokola glede tehnik ublažitve. Ko se incident razpleta, se sektor sooča z obnovljenim nadzorom nad ravnovesjem med inovacijami in varnostjo v standardih pametnih pogodb.
Komentarji (0)