一個針對 World Liberty Financial(WLFI)持有者的高級釣魚攻擊手法出現,該治理代幣與唐納德·特朗普的加密生態系統相關聯。安全公司發現攻擊者利用了以太坊 Pectra 升級引入的漏洞——具體是 EIP-7702 代理機制——將惡意合約植入受侵錢包。當受害者嘗試存入 ETH 或 WLFI 代幣時,嵌入的代理合約會自動將資金轉向攻擊者控制的地址,導致用戶無法追回資產。
攻擊手法圍繞 EIP-7702 功能展開,該功能旨在支持批量交易和代理操作。儘管該代理機制作為簡化多重調用交互的工具,但它成了雙刃劍:攻擊者在密鑰洩露後預先將自己的代理地址插入目標錢包,這通常通過釣魚活動實現。一旦毫無戒心的用戶授權代理,隨後的任何轉帳——無論是原生 ETH 還是 ERC-20 代幣如 WLFI——都會被重定向至駭客合約,繞過標準批准檢查。
WLFI 社區論壇報告顯示,多位投資者僅回收了約 20% 左右的持倉,在意識到資金無法挽回前已有損失。分析公司 Bubblemaps 亦標記出大量“捆綁克隆”合約,模仿官方 WLFI 合約,進一步混淆用戶並將其引導至詐騙界面。詐騙鏈接在 Telegram 和 X 平台廣泛流傳,加劇攻擊範圍及影響力。
該漏洞加劇了 WLFI 持有者在代幣高調交易首發後面臨的價格大幅下跌損失。Pectra 升級雖旨在提升錢包功能,但凸顯出嚴格審計流程和謹慎整合新 EVM 功能的重要性。安全專家建議通過錢包界面撤銷所有代理權限,將剩餘資產轉移到新生成、使用隔離密鑰存儲的地址,並等待社區或協議層面的緩解指引。事件發展中,加密行業重新面臨智能合約標準中創新與安全平衡的嚴格審視。
評論 (0)