一個複雜的網路釣魚攻擊針對持有世界自由金融(WLFI)治理代幣的用戶,該代幣與唐納德·川普的加密生態系統相關聯。安全公司指出,攻擊者利用了以太坊Pectra升級引入的漏洞——具體為EIP-7702的代理機制——在受感染錢包中植入惡意合約。當受害者嘗試存入ETH或WLFI代幣時,內嵌的代理合約會自動將資金重新導向攻擊者控制的地址,導致用戶無法取回資產。
攻擊手法圍繞EIP-7702功能展開,該功能旨在支持批次交易與代理操作。雖然本意在於簡化多重調用操作,但此代理機制成為雙刃劍:攻擊者在密鑰外洩後預先將自己的代理地址插入目標錢包,通常透過網路釣魚活動實現。一旦受害用戶授權該代理,隨後任何ETH或類似WLFI的ERC-20代幣轉移都會被重新路由至駭客合約,繞過標準授權檢查。
來自WLFI社區論壇的報告顯示,多位投資者僅能挽回部分持倉——部分情況下約為20%——便發現資產遭遇無法逆轉的流失。分析公司Bubblemaps同時標記出“打包克隆”偽裝成官方WLFI合約,進一步混淆用戶並引導他們進入詐騙介面。詐騙連結在Telegram與X平台廣泛傳播,擴大了攻擊的範圍與影響。
此漏洞加劇了WLFI持有人在代幣高調上市後已面臨的價格崩跌損失。Pectra升級雖旨在提升錢包功能,卻凸顯了嚴格審計程序與謹慎整合新EVM功能的重要性。安全專家建議使用者透過錢包界面撤銷所有代理權限,將剩餘資產轉移至新生成且採用離線存儲密鑰的地址,並等待社群或協議層面的應對指引。事件持續發酵,業界對智能合約標準中創新與安全的平衡重新展開審視。
評論 (0)