又一次黑客攻擊,已經沒有人感到驚訝。這次受害的是與唐納德·特朗普及其家族相關的加密項目 World Liberty Financial ( $WLFI )。
事實證明,原因是最近對黑客的“饋贈”——以太坊 EIP-7702 更新(作爲 Pectra 升級的一部分)。根據 SlowMist 的研究人員的說法,這個更新本應使加密用戶的生活更簡單,反而爲盜取代幣創造了完美的漏洞。
它是如何工作的,爲什麼如此可怕
關鍵在於,升級允許錢包暫時“轉交”對智能合約的控制。正如你所猜到的,黑客沒有錯過這個機會。他們開始使用釣魚來竊取私鑰,然後迅速安裝惡意代碼。該代碼使用 DELEGATECALL 函數,立即從錢包中提取所有入賬的 ETH 和代幣。
專家表示,這種技術“成熟”得令人難以置信:超過 97% 所有與 EIP-7702 相關的“委託”都與同一批吸塵器合約有關。
關於以太坊的夢想變成了安全噩夢
EIP-7702 更新是改善用戶體驗的大計劃的一部分——它旨在降低費用並簡化交易。聽起來不錯,對吧?但是,像往常一樣,問題出在細節上。與被盜鑰匙結合,這導致了嚴重的風險。
這不是第一次,也顯然不是最後一次事件。這個漏洞已經讓黑客進行釣魚活動,造成 154 萬美元的損失,並通過 MetaMask 提取了 14.6 萬美元。總的來說,僅有一組黑客在 2025 年就“賺取”了超過 900 萬美元。
結論:該做什麼,誰該負責
不僅僅是釣魚。這個漏洞允許使用不同的方法,從簡單的釣魚和通過簽名遠程安裝惡意代碼,到使用閃電貸款的更復雜攻擊。
專家提供建議。像往常一樣,在錢被盜之後。他們建議避免可疑請求,仔細檢查交易權限,並取消任何可疑的委託。
問題出在機制本身。主要問題在於“委託”的想法本身就創造了巨大的漏洞。當你的私鑰被泄露時,黑客可以自動提取任何進入你賬戶的資金。
總之,關於加密貨幣的故事還在繼續:每前進一步,就會出現一個新的、更復雜的問題。在數字資產的世界裏,沒有什麼是完美的,除了黑客發現新方法偷取它們的速度。
