Хакеры активно используют уязвимость в обновлении Ethereum EIP-7702, входящем в майское обновление Pectra, для кражи токенов World Liberty Financial (WLFI) — проекта, поддержанного Дональдом Трампом. Атака начинается с компрометации приватных ключей через фишинговые атаки, после чего злоумышленники предустанавливают вредоносные смарт-контракты в кошельки жертв. Эти контракты остаются неактивными до момента депозита ETH для оплаты газовых сборов, после чего автоматически переводят все токены на контролируемые хакерами адреса.
Основатель SlowMist Юй Сянь идентифицировал метод эксплуатации, отметив, что более 97% делегаций EIP-7702 связаны с идентичными контрактами для автоматического очищения средств. Пользователи сообщают о значительных потерях: например, один из пострадавших смог спасти лишь 20% своих токенов WLFI через экстренные переводы, в то время как остальные 80% остались заблокированными в скомпрометированном кошельке. Другой пользователь под псевдонимом Антон объяснил, что необходимость использования whitelisted кошельков для пресейла WLFI усугубляет проблему, делая их непригодными для любых транзакций после компрометации.
Команда WLFI предупредила о фальшивых сообщениях поддержки и мошеннических токенах, подчеркнув, что они никогда не связываются через direct messages. Аналитическая фирма Bubblemaps выявила множество scam-контрактов, имитирующих легитимные проекты. Для защиты рекомендуется отмена или замена malicious делегаций, а также перевод токенов на безопасные адреса, хотя это сопряжено с риском моментальной кражи.
Исторически аналогичные инциденты, такие как фишинг-атака на $1,54 млн в августе и drain MetaMask на $146 000, демонстрируют систематический характер угрозы. Wintermute разработала инструмент CrimeEnjoyor для предупреждения о malicious контрактах, но фундаментальная уязвимость EIP-7702, предназначенного для улучшения пользовательского опыта, продолжает использоваться злоумышленниками.