Một lỗ hổng phishing tinh vi đã xuất hiện nhắm vào các chủ sở hữu World Liberty Financial (WLFI), token quản trị liên quan đến hệ sinh thái tiền điện tử của Donald Trump. Các công ty bảo mật đã xác định rằng kẻ tấn công đã lợi dụng một lỗ hổng được giới thiệu bởi bản nâng cấp Pectra của Ethereum—cụ thể là cơ chế đại diện EIP-7702—để cấy các hợp đồng độc hại vào ví bị xâm phạm. Khi nạn nhân cố gắng gửi ETH hoặc token WLFI, hợp đồng đại diện nhúng sẵn sẽ tự động chuyển tiền đến các địa chỉ do kẻ tấn công kiểm soát, khiến người dùng không thể lấy lại tài sản.
Đường dẫn tấn công xoay quanh tính năng EIP-7702, được thiết kế để hỗ trợ các giao dịch theo lô và các thao tác đại diện. Mặc dù nhằm mục đích đơn giản hóa các tương tác nhiều lần gọi, tính năng đại diện này đã trở thành con dao hai lưỡi: kẻ tấn công chủ động chèn địa chỉ đại diện của riêng họ vào ví mục tiêu khi có rò rỉ khóa, thường thông qua các chiến dịch phishing. Ngay khi người dùng không nghi ngờ cho phép đại diện, bất kỳ chuyển khoản tiếp theo nào—dù là ETH gốc hay token ERC-20 như WLFI—đều bị chuyển hướng đến hợp đồng của hacker, bỏ qua các kiểm tra phê duyệt thông thường.
Các báo cáo từ diễn đàn cộng đồng WLFI cho thấy một số nhà đầu tư chỉ cứu được một phần nhỏ tài sản của họ—khoảng 20% trong một số trường hợp—trước khi nhận ra tài sản đã bị rút sạch không thể phục hồi. Công ty phân tích Bubblemaps cũng đã phát hiện các “bản sao đóng gói” giả mạo hợp đồng chính thức của WLFI, gây nhầm lẫn thêm cho người dùng và dẫn họ đến giao diện gian lận. Các liên kết lừa đảo lan rộng trên Telegram và X, làm tăng phạm vi và ảnh hưởng của cuộc tấn công.
Lỗ hổng này tăng thêm thiệt hại cho các chủ sở hữu WLFI vốn đang đối mặt với sự giảm giá mạnh sau khi token ra mắt giao dịch nổi bật. Bản nâng cấp Pectra, mặc dù nhằm nâng cao chức năng ví, nhấn mạnh tầm quan trọng của các quy trình kiểm toán nghiêm ngặt và việc tích hợp thận trọng các tính năng EVM mới. Các chuyên gia bảo mật khuyến nghị thu hồi tất cả quyền đại diện qua giao diện ví, chuyển tài sản còn lại sang các địa chỉ mới được tạo với khoá lưu trữ cách ly, và chờ hướng dẫn từ cộng đồng hoặc cấp độ giao thức về các biện pháp khắc phục. Khi vụ việc diễn ra, ngành công nghiệp này chịu sự giám sát trở lại về cân bằng giữa đổi mới và an ninh trong các tiêu chuẩn hợp đồng thông minh.
Bình luận (0)