Держатели токенов управления World Liberty Financial (WLFI), связанных с президентом США Дональдом Трампам, стали жертвами фишинговой атаки, использующей обновление Ethereum EIP-7702. Об этом сообщил представитель компании SlowMist, занимающейся блокчейн-безопасностью.
Обновление Pectra для Ethereum, активированное в мае, включало EIP-7702 — функцию, которая позволяет внешним аккаунтам временно работать как кошельки смарт-контрактов. Это дает возможность делегировать права выполнения и проводить пакетные транзакции для упрощения жизни пользователям.
Основатель SlowMist Ю Сян (Yu Xian) объяснил в соцсети X в понедельник, что хакеры эксплуатируют это обновление, предварительно размещая контролируемые ими адреса в кошельках жертв. При поступлении средств, злоумышленники быстро «захватывают» токены — и в данном случае это затрагивает держателей WLFI.
«Столкнулся с еще одним игроком, у которого WLFI были украдены с нескольких адресов. Глядя на метод кражи, это снова эксплуатация вредоносного контракта 7702, с предпосылкой утечки приватного ключа», — написал Сян.
Токен World Liberty Financial (WLFI), поддерживаемый Дональдом Трампом, начал торговаться в понедельник утром. Эмиссия токена составляет 24,66 млрд.
Схема работы атаки
В преддверии официального запуска пользователь X сообщил 31 августа, что у его друга украли токены WLFI после перевода Ethereum в кошелек.
В ответе Сян назвал это явным примером «классической фишинговой атаки EIP-7702», где приватный ключ был скомпрометирован, а злоумышленник предварительно разместил делегированный смарт-контракт в адресе кошелька жертвы, связанном с этим ключом.
Сян также подеркнул, что приватные ключи обычно крадут через фишинг. «Как только ты попытаешься перевести оставшиеся токены, например, эти WLFI, которые были отправлены в контракт Lockbox, газ, который ты вводишь, будет автоматически переведен», — пояснил он.
Эксперт предложил «отменить или заменить подставной EIP-7702 своим собственным» и перевести токены из скомпрометированного кошелька как возможное решение.
Некоторые пользователи сообщают о похожих проблемах на форумах WLFI. Один из них под ником hakanemiratlas рассказал, что его кошелек был взломан в октябре прошлого года, и теперь он беспокоится за безопасность своих токенов WLFI.
«Мне удалось перевести только 20% моих токенов WLFI в новый кошелек, но это была напряженная гонка с хакером. Даже отправка ETH для комиссий за газ ощущалась как то-то опасное, поскольку они тоже могли быть мгновенно украдены», — написал он.
«В настоящее время 80% моих токенов WLFI все еще заблокированы в скомпрометированном кошельке. Я крайне обеспокоен тем, что как только они разблокируются, хакер сможет немедленно их перевести».
Другой пользователь под ником Anton отметил, что многие люди сталкиваются с похожей проблемой из-за того, как была реализована раздача токенов. Кошелек, используемый для присоединения к белому списку WLFI, должен использоваться для участия в предпродаже.
«В тот момент, когда токены поступают, их украдут автоматизированные боты-сборщики, прежде чем у нас будет возможность переместить их в безопасный кошелек», — сказал он.
Anton также просит команду WLFI рассмотреть возможность реализации прямого перевода токенов.
Мошенники нацелились на запуск токена
В преддверии и после запуска токена появились многочисленные мошеннические схемы, связанные с WLFI. Аналитическая компания Bubblemaps выявила несколько «связанных клонов» — похожих смарт-контрактов, имитирующих установленные криптовалютные проекты.
Тем временем команда WLFI предупредила, что не связывается через прямые сообщения на любых платформах, а единственные официальные каналы поддержки — через электронную почту.
«Если ты получишь прямое сообщение с утверждением, что оно от нас, это мошенничество, и его следует игнорировать. Если ты получишь электронное письмо, всегда дважды проверяй, что оно приходит с одного из этих официальных доменов, прежде чем отвечать», — заявила команда WLFI.
▼ Самые интересные и важные новости на нашем канале в Telegram
