Хакеры украли токены WLFI с помощью смарт-кошельков

forklog.com 02 Сентябрь 2025 04:15, UTC

Security

Хакеры используют уязвимость в обновлении Ethereum для кражи токенов World Liberty Financial ($WLFI). Об этом сообщил основатель SlowMist Юй Сянь.

又遇到一位玩家多个地址的 $WLFI 都被盗事件，看了下盗窃手法，又是 7702 delegate 恶意合约利用，前提也是私钥泄露，黑客在目标钱包地址上提前埋伏好恶意的 7702 delegate 地址，之后将目标地址所有 $ETH 及价值 token（比如这里是 $WLFI）转走，一点渣渣都不剩，如果用户转入 $ETH 当… https://t.co/YyVvMPwaGM
— Cos(余弦)😶‍🌫️ (@evilcos) September 1, 2025

По его словам, злоумышленники эксплуатируют EIP-7702. Атака происходит в несколько этапов. Сначала хакеры получают приватный ключ от кошелька жертвы, как правило, с помощью фишинга.

Затем они внедряют вредоносный делегирующий контракт. Как только пользователь пополняет счет, например, получает токены $WLFI или вносит $ETH для оплаты газа, бот автоматически выводит все средства на адрес мошенников.

Функция EIP-7702 появилась в обновлении Pectra в мае. Она была призвана упростить работу с кошельками, позволяя им временно действовать как смарт-контракты и выполнять пакетные транзакции.

Мошенники и WFLI

Торги токеном $WLFI от DeFi-проекта семьи Трампов World Liberty Financial стартовали 1 сентября.

На форумах проекта пострадавшие подтверждают наличие проблемы. Один из них рассказал, что смог вывести только 20% своих $WLFI «в гонке» с хакером. Остальные 80% заблокированы в скомпрометированном кошельке. Он опасается, что потеряет их сразу после разблокировки.

Другой пользователь пояснил, что проблема усугубляется условиями токенсейла. Для участия в пресейле нужно было использовать внесенный в вайтлист кошелек. Многие из этих кошельков могли скомпрометировать задолго до события.

Как защититься

Сянь предложил возможное решение: пользователям нужно отменить или заменить вредоносный делегированный контракт в кошельке на свой собственный. После этого следует немедленно вывести все активы на новый адрес.

На фоне запуска токена активизировались и другие мошенники. Аналитическая фирма Bubblemaps обнаружила несколько смарт-контрактов, которые копируют известные криптопроекты.

WATCH OUT: 🚨 $WLFI is live and bundled clones are everywhere

Be careful what you buy https://t.co/F91ubhcK52 pic.twitter.com/bHpe87F3uC
— Bubblemaps (@bubblemaps) September 1, 2025

Команда $WLFI предупредила, что никогда не пишет пользователям в личные сообщения, а официальная поддержка доступна только по электронной почте.

Напомним, в июне DeFi-проект семьи Трампов провел раздачу стейблкоина USD1 среди держателей $WLFI.