" Основатель аналитической компании SlowMist Юй Сянь сообщил о новой фишинговой схеме, направленной против держателей токенов управления World Liberty Financial (WLFI). Эксплойт использует функционал обновления EIP-7702, внедренного в сеть Ethereum в рамках майского обновления Pectra.
Механизм атаки
EIP-7702 позволяет внешним учетным записям временно действовать как кошельки смарт-контрактов, делегируя права на исполнение операций. Злоумышленники используют эту функцию для предварительной установки контролируемого ими адреса в кошельках жертв. Как пояснил Сянь в своем посте в X, обязательным условием успешной атаки является предварительная утечка закрытого ключа жертвы, обычно происходящая через фишинг.
После компрометации ключа и установки вредоносного контракта делегата любая попытка пользователя совершить транзакцию (например, для вывода токенов WLFI) приводит к автоматическому переводу средств на адрес злоумышленника. Газ, введенный для операции, также изымается.
Сообщения пострадавших
На форумах WLFI пользователи сообщают о систематических кражах. Один из них под ником hakanemiratlas рассказал, что его кошелек был взломан еще в октябре прошлого года, и теперь он опасается за свои токены WLFI. Ему удалось перевести лишь 20% активов на новый кошелек в "напряженной гонке с хакером". Остальные 80% остаются в скомпрометированном кошельке и могут быть украдены после разблокировки.
Другой пользователь, Anton, указал на структурную проблему: для участия в предпродаже WLFI необходимо было использовать кошелек, привязанный к белому списку. Это означает, что пользователи с ранее взломанными кошельками не могут безопасно получить токены — автоматизированные боты-сборщики выводят средства мгновенно после их поступления.
Рекомендации и реакция команды
Юй Сянь предложил пострадавшим в качестве решения отменить или заменить скомпрометированный EIP-7702 на собственный контракт делегата и немедленно перевести токены на безопасный кошелек.
Команда WLFI предупредила пользователей о мошеннических схемах, подчеркнув, что не ведет общение через личные сообщения на каких-либо платформах. Единственный официальный канал поддержки — электронная почта, причем необходимо проверять домен отправителя перед ответом.
Аналитическая компания Bubblemaps также выявила множество "комплексных клонов" — смарт-контрактов, имитирующих легитимные проекты, что усложняет идентификацию мошенничества.
Данный инцидент подчеркивает растущую изощренность фишинговых атак в криптосфере и важность соблюдения базовых мер безопасности, таких как защита приватных ключей и верификация всех контрактных взаимодействий.
