又一次黑客攻击,已经没有人感到惊讶。这次受害的是与唐纳德·特朗普及其家族相关的加密项目 World Liberty Financial ( $WLFI )。
事实证明,原因是最近对黑客的“馈赠”——以太坊 EIP-7702 更新(作为 Pectra 升级的一部分)。根据 SlowMist 的研究人员的说法,这个更新本应使加密用户的生活更简单,反而为盗取代币创造了完美的漏洞。
它是如何工作的,为什么如此可怕
关键在于,升级允许钱包暂时“转交”对智能合约的控制。正如你所猜到的,黑客没有错过这个机会。他们开始使用钓鱼来窃取私钥,然后迅速安装恶意代码。该代码使用 DELEGATECALL 函数,立即从钱包中提取所有入账的 ETH 和代币。
专家表示,这种技术“成熟”得令人难以置信:超过 97% 所有与 EIP-7702 相关的“委托”都与同一批吸尘器合约有关。
关于以太坊的梦想变成了安全噩梦
EIP-7702 更新是改善用户体验的大计划的一部分——它旨在降低费用并简化交易。听起来不错,对吧?但是,像往常一样,问题出在细节上。与被盗钥匙结合,这导致了严重的风险。
这不是第一次,也显然不是最后一次事件。这个漏洞已经让黑客进行钓鱼活动,造成 154 万美元的损失,并通过 MetaMask 提取了 14.6 万美元。总的来说,仅有一组黑客在 2025 年就“赚取”了超过 900 万美元。
结论:该做什么,谁该负责
不仅仅是钓鱼。这个漏洞允许使用不同的方法,从简单的钓鱼和通过签名远程安装恶意代码,到使用闪电贷款的更复杂攻击。
专家提供建议。像往常一样,在钱被盗之后。他们建议避免可疑请求,仔细检查交易权限,并取消任何可疑的委托。
问题出在机制本身。主要问题在于“委托”的想法本身就创造了巨大的漏洞。当你的私钥被泄露时,黑客可以自动提取任何进入你账户的资金。
总之,关于加密货币的故事还在继续:每前进一步,就会出现一个新的、更复杂的问题。在数字资产的世界里,没有什么是完美的,除了黑客发现新方法偷取它们的速度。
