一个复杂的网络钓鱼利用漏洞已经出现,针对持有World Liberty Financial(WLFI)治理代币的用户,该代币与唐纳德·特朗普的加密生态系统相关。安全公司发现攻击者利用了以太坊Pectra升级引入的一个漏洞——具体来说,是EIP-7702代理机制——将恶意合约植入被攻陷的钱包中。当受害者尝试存入ETH或WLFI代币时,内嵌的代理合约会自动将资金重定向到攻击者控制的地址,使用户无法取回资产。
此漏洞利用的核心围绕EIP-7702功能设计,该功能旨在支持批量交易和代理操作。虽然本意是简化多项调用交互,但这一代理能力却成为双刃剑:攻击者在密钥泄露时预先将自己的代理地址插入目标钱包,常通过网络钓鱼活动实现。一旦不知情的用户授权了代理,任何后续的转账——无论是原生ETH还是ERC-20代币如WLFI——都会被重新指向黑客的合约,绕过标准的批准检查。
WLFI社区论坛的报告显示,部分投资者仅在意识到无法逆转的资金流失前,勉强挽回了大约20%的持仓。分析公司Bubblemaps也发现了“捆绑克隆”假冒官方WLFI合约,进一步迷惑用户并引导他们进入欺诈界面。诈骗链接在Telegram和X平台广泛传播,加剧了攻击的范围和影响。
这一漏洞加剧了WLFI持有人在代币高调上市交易后经历的价格大幅下跌带来的损失。Pectra升级虽然旨在增强钱包功能,但凸显了严格审计流程和谨慎整合新EVM特性的必要性。安全专家建议通过钱包界面撤销所有代理权限,将剩余资产迁移到新生成、采用空气隔离密钥存储的钱包地址,并等待社区或协议层面关于缓解措施的指导。随着事件的发展,该行业面临着在智能合约标准的创新与安全之间寻求平衡的重新审视。
评论 (0)