Một nhà đầu tư mất toàn bộ WLFI do rò rỉ private key, sau đó kẻ tấn công lợi dụng kỹ thuật lừa đảo EIP-7702 để tự động chuyển Token khỏi Lockbox thông qua thao tác nạp gas và front‑run bằng flashbots.
Sự cố bắt nguồn từ việc private key bị lộ, kèm theo kịch bản tấn công gồm nhúng exploit vào địa chỉ ví, nạp gas để kích hoạt chuyển Token và dùng cơ chế thay thế/hủy giao dịch cùng khối để trộm tài sản.
- Rò rỉ private key mở đường cho exploit EIP-7702 nhắm vào WLFI trong Lockbox.
- Kỹ thuật tấn công gồm nạp gas, thay thế/hủy giao dịch và front‑run bằng flashbots.
- Hành động khẩn cấp: thu hồi quyền, di chuyển tài sản và bảo vệ private key.
Mô tả sự cố
Sự kiện xảy ra khi private key của nhà đầu tư bị lộ; kẻ tấn công đã tận dụng lỗ hổng/phishing theo dạng EIP-7702 để chiếm Token WLFI được gửi vào hợp đồng Lockbox và chuyển chúng ra ngoài.
Thông tin cho biết exploit được nhúng liên quan trực tiếp tới địa chỉ ví tương ứng private key đã rò rỉ. Khi Token được gửi vào Lockbox, thao tác tấn công tự động kích hoạt chuyển Token bằng một chuỗi giao dịch được thiết kế trước.
Cơ chế tấn công: EIP-7702, nạp gas và front‑running
Về bản chất, kịch bản gồm ba bước phối hợp: (1) nạp gas vào giao dịch, (2) hủy hoặc thay thế đoạn mã EIP-7702 bị nhúng bằng giao dịch của kẻ tấn công, (3) chuyển Token giá trị — tất cả có thể được đưa vào cùng một khối bằng flashbots để tránh bị chặn.
Chiến thuật này tận dụng khả năng thay thế/cancel giao dịch và ưu tiên bao gồm chúng trong cùng khối (bundle) nhằm front‑run các giao dịch hợp pháp, khiến nạn nhân không kịp phản ứng trước khi Token bị chuyển đi.
Phòng ngừa và hành động khắc phục
Ngưng ngay mọi hoạt động với ví nghi bị rò private key; thu hồi mọi quyền truy cập (approve), chuyển tài sản còn lại sang ví an toàn (hardware wallet) và thay đổi private key nếu có thể.
Bổ sung biện pháp: kiểm tra lịch sử giao dịch on‑chain, bật xác thực phần cứng cho khoá, sử dụng dịch vụ giám sát, và tránh tiếp xúc với liên kết/phishing. Nếu mất nhiều tài sản, cân nhắc liên hệ nền tảng hoặc chuyên gia bảo mật để truy vết và khoá các quyền liên quan.
EIP‑7702 là gì và tại sao nguy hiểm?
EIP‑7702 ở đây được nhắc tới như dạng exploit/phishing cho phép kẻ tấn công nhúng mã vào luồng giao dịch, tạo điều kiện thay thế/hủy giao dịch và thực hiện front‑run, dẫn đến mất Token.
Làm sao phát hiện ví bị rò private key?
Dấu hiệu gồm giao dịch bất thường, Token bị chuyển ra mà chủ ví không khởi tạo, hoặc quyền approve xuất hiện lạ. Kiểm tra lịch sử on‑chain và các bản ghi approve để xác minh.
Nên làm gì ngay khi phát hiện Token bị mất?
Thu hồi quyền truy cập, chuyển tài sản còn lại sang ví an toàn, tạm dừng giao dịch, ghi nhận bằng chứng on-chain và tìm trợ giúp từ chuyên gia bảo mật nếu cần.
Flashbots là gì và vai trò trong tấn công?
Flashbots là cơ chế cho phép đóng gói và gửi bundle giao dịch trực tiếp tới thợ đào; kẻ tấn công dùng nó để front‑run và đảm bảo bundle của họ vào cùng một khối, giảm rủi ro bị can thiệp.
