一种复杂的网络钓鱼攻击针对World Liberty Financial(WLFI)持有者出现,WLFI是与唐纳德·特朗普加密生态系统相关的治理代币。安全公司发现攻击者利用了以太坊Pectra升级引入的漏洞——具体是EIP-7702委托机制——在被攻破的钱包中植入恶意合约。当受害者尝试存入ETH或WLFI代币时,嵌入的委托合约会自动将资金重定向到攻击者控制的地址,导致用户无法找回资产。
攻击矢量围绕EIP-7702特性展开,旨在支持批量交易和委托操作。尽管该功能旨在简化多调用交互,但此委托能力成为双刃剑:攻击者在密钥泄露后,预先将自己的委托地址插入目标钱包,通常通过网络钓鱼活动实现。一旦毫无防备的用户授权了委托,之后的任何转账——无论是原生ETH还是像WLFI这样的ERC-20代币——都会被转入黑客合约,绕过了标准的批准检查。
WLFI社区论坛的报告显示,多位投资者仅设法挽回了部分持仓——在某些情况下约为20%——随后才意识到资产已经不可逆转地被抽干。分析公司Bubblemaps还发现了模仿官方WLFI合约的“捆绑克隆”,进一步混淆用户,引导他们进入欺诈界面。诈骗链接在Telegram和X上大量传播,扩大了攻击的覆盖面和影响。
此漏洞加剧了WLFI持有者在代币首次亮相交易后已遭遇的价格暴跌损失。Pectra升级虽旨在增强钱包功能,却凸显了严格审计流程和谨慎整合新EVM特性的必要性。安全专家建议通过钱包界面撤销所有委托权限,将剩余资产迁移至新生成的隔离密钥地址,并等待社区或协议层的应对指导。随着事件发展,行业面临对智能合约标准中创新与安全平衡的重新审视。
评论 (0)