World Liberty Financial (WLFI) cho biết đã chặn các nỗ lực tấn công trong thời điểm ra mắt Token bằng cách đưa các ví bị xâm phạm vào danh sách đen trực tiếp on-chain.
Dự án khẳng định đây là sự cố xuất phát từ phía người dùng (mất khóa riêng…), không phải khai thác lỗ hổng của WLFI, và cơ chế Lockbox đã được bảo vệ nhờ “blacklist” hàng loạt trước giờ mở giao dịch.
- WLFI chủ động “blacklist” nhiều ví bị xâm phạm trước khi mở giao dịch, ngăn trộm tài sản từ Lockbox.
- Kẻ xấu lợi dụng hợp đồng giả mạo “bundled clones” và lừa ký EIP-7702 để rút cạn Token qua chữ ký offchain.
- EIP-7702 cải thiện trải nghiệm nhưng mở vector tấn công mới; người dùng cần kiểm chứng hợp đồng và hạn chế ký thông điệp mù.
WLFI đã chặn điều gì trong ngày ra mắt Token?
WLFI cho biết một ví được chỉ định đã thực hiện “blacklist hàng loạt” on-chain với các địa chỉ bị xâm phạm, giúp ngăn chặn nỗ lực đánh cắp từ Lockbox trước khi mở giao dịch lần đầu.
Theo thông báo từ tài khoản chính thức, các nỗ lực tấn công xuất phát từ việc người dùng bị lộ khóa riêng hoặc bị chiếm quyền ví, không phải khai thác vào hạ tầng WLFI. Đội ngũ cũng đang phối hợp để hỗ trợ người dùng khôi phục quyền truy cập.
“Điều này cho phép chúng tôi chặn các nỗ lực đánh cắp từ Lockbox.”
– World Liberty Financial (tài khoản chính thức), X (trước đây là Twitter), tham chiếu bài đăng được trích dẫn, truy cập 03/09/2025. Nguồn: https://x.com/worldlibertyfi/status/1962949535602266247
WLFI đã dùng “blacklist onchain” như thế nào để phòng vệ?
Một ví được ủy quyền đã gửi các giao dịch “blacklist hàng loạt” lên chuỗi, vô hiệu hóa các tài khoản bị nghi xâm phạm trong giai đoạn nhạy cảm trước khi niêm yết và giao dịch mở khóa.
WLFI liên kết tới hai giao dịch trên Etherscan minh chứng việc đưa ví vào danh sách đen. Cách tiếp cận chủ động này giảm rủi ro lan truyền trong lúc nhu cầu giao dịch tăng đột biến, đặc biệt khi nhiều phân bổ bị khóa nằm trong cơ chế vesting.
Lockbox là gì và vì sao bị nhắm mục tiêu?
Lockbox là cơ chế vesting bảo vệ các phân bổ Token bị khóa của người dùng, nên trở thành mục tiêu hàng đầu với kẻ tấn công trong ngày mở giao dịch.
Khi Token có tính thanh khoản, mọi khoảng trống bảo mật ở ví người dùng đều có thể bị khai thác để chiếm hữu quyền chuyển Token khỏi Lockbox ngay khi điều kiện cho phép. Việc chặn trước các ví đáng ngờ giúp bảo toàn số dư bị khóa trong giai đoạn rủi ro.
Vì sao người dùng WLFI tiếp tục bị nhắm tới sau khi mở giao dịch?
Ngay sau khi WLFI mở giao dịch và mở khóa 24,6 tỷ Token, các nhóm hacker và lừa đảo đã tìm cách trục lợi bằng việc tạo hợp đồng giả mạo và tấn công người dùng qua kỹ thuật lừa ký.
Đơn vị phân tích Bubblemaps ghi nhận các “bundled clones” – hợp đồng mô phỏng dự án, đánh lừa người dùng tương tác nhầm. Đồng thời, một số người nắm WLFI bị rút cạn Token thông qua chiêu “phishing EIP-7702 cổ điển”, theo Yu Xian, nhà sáng lập SlowMist.
“Một chiêu phishing EIP-7702 cổ điển đang được dùng để rút cạn Token của người nắm WLFI.”
– Yu Xian, Nhà sáng lập SlowMist, nhận định công khai trên X về các trường hợp WLFI, truy cập 03/09/2025. Nguồn: SlowMist và cộng đồng an ninh blockchain
“Bundled clones” là gì và cách chúng đánh lừa người dùng?
“Bundled clones” là các hợp đồng thông minh trông giống hệt dự án thật, nhằm khiến người dùng phê duyệt/trao quyền cho hợp đồng giả để kẻ xấu chiếm đoạt tài sản.
Khi chiến dịch truyền thông của dự án thu hút lưu lượng lớn, những hợp đồng nhái thường đặt bẫy trên các kênh không chính thức, tên miền gần giống, hoặc đường dẫn quảng cáo. Người dùng cần xác thực hợp đồng gốc qua kênh chính thức và kiểm tra địa chỉ trên Etherscan trước khi tương tác.
Token WLFI bị rút cạn bằng EIP-7702 như thế nào?
Theo Yu Xian, kẻ xấu cài địa chỉ do hacker kiểm soát vào ví nạn nhân, sau đó chiếm quyền rút Token khi nạn nhân nạp hoặc thực hiện giao dịch liên quan.
Trong kịch bản này, người dùng thường bị đánh lừa ký một thông điệp offchain. Chỉ một chữ ký cũng đủ cung cấp quyền thực thi tạm thời, giúp kẻ xấu gom Token mà không cần nạn nhân ký trực tiếp giao dịch onchain cụ thể tại thời điểm chiếm đoạt.
EIP-7702 mở ra vector tấn công offchain nào?
EIP-7702 được giới thiệu nhằm cho phép tài khoản do người dùng sở hữu tạm thời hoạt động như ví hợp đồng, hỗ trợ ủy quyền thực thi và giao dịch theo lô để tối ưu trải nghiệm.
Dù mục tiêu là đơn giản hóa thao tác, các chuyên gia bảo mật lưu ý vector tấn công mới: chỉ cần một chữ ký offchain, kẻ xấu có thể kích hoạt logic có lợi cho chúng. Cointelegraph dẫn lời một kiểm toán viên Solidity cho biết kịch bản rút tiền chỉ bằng thông điệp ký offchain là khả dĩ, không cần nạn nhân ký một giao dịch onchain cụ thể.
EIP-7702 cải thiện trải nghiệm người dùng ra sao?
Cơ chế ủy quyền thực thi và giao dịch theo lô giúp giảm số bước ký, tăng tính tiện dụng, đặc biệt với các thao tác lặp lại hoặc cần nhiều phê duyệt.
Về mặt trải nghiệm, người dùng được tận hưởng sự linh hoạt như ví hợp đồng thông minh trong một phiên, giảm ma sát khi tương tác DeFi. Tuy nhiên, khi tiện ích tăng, rủi ro từ việc ký nhầm hoặc ký mù nội dung cũng tăng tương ứng, đòi hỏi quy trình xác thực chặt chẽ hơn.
Rủi ro mới từ chữ ký offchain là gì?
Rủi ro cốt lõi là người dùng khó nhận diện đầy đủ hậu quả của một thông điệp ký offchain, vốn có thể ủy quyền rộng hơn mức dự định.
Khi bị lừa qua giao diện giả mạo, chữ ký offchain có thể trao quyền cho hợp đồng do kẻ xấu kiểm soát, mở đường rút tài sản mà không kích hoạt một giao dịch onchain “rõ ràng” để người dùng dễ cảnh giác. Cần hạn chế ký thông điệp không rõ nguồn gốc và luôn đối chiếu địa chỉ.
Bảng so sánh: Phê duyệt onchain truyền thống và chữ ký offchain (liên quan EIP-7702)
Bảng dưới đây tóm lược khác biệt chính giúp người dùng nhận diện rủi ro và chọn quy trình an toàn hơn khi tương tác.
| Tiêu chí | Phê duyệt onchain | Chữ ký offchain (EIP-7702 liên quan) |
|---|---|---|
| Hiển thị on-chain | Có giao dịch, minh bạch trên explorer | Không nhất thiết có giao dịch tức thời |
| Khả năng kiểm tra | Dễ kiểm tra lịch sử, sự kiện | Khó đánh giá hậu quả tức thời |
| Trải nghiệm | Nhiều bước, ma sát cao | Nhanh, ít bước, tiện dụng |
| Rủi ro lừa ký | Thấp hơn, do nhìn thấy phí/điều khoản | Cao hơn nếu nội dung bị che giấu |
Người dùng WLFI nên làm gì để giảm rủi ro ngay?
Ưu tiên xác minh hợp đồng chính thức, kiểm tra địa chỉ WLFI qua kênh dự án, và tránh tương tác liên kết không rõ nguồn gốc.
Các bước khuyến nghị: sử dụng ví phần cứng, bật danh sách cho phép (allowlist) đối với dApp quen thuộc, hạn chế ký thông điệp offchain mù, rà soát quyền đã cấp định kỳ, theo dõi cảnh báo từ các hãng an ninh như SlowMist. Nếu nghi ngờ bị lộ, hãy chuyển tài sản sang ví mới an toàn và liên hệ đội ngũ dự án.
https://www.youtube.com/watch?v=bWZoDbdBiUw" title="EIP-7702 Security Context
Các câu hỏi thường gặp
Blacklist onchain là gì?
Là cơ chế đưa địa chỉ ví vào danh sách bị chặn ngay trên hợp đồng hoặc hạ tầng onchain, qua đó vô hiệu hóa khả năng tương tác hay rút tài sản theo các điều kiện do dự án đặt ra.
Lockbox của WLFI có bị hack không?
Theo WLFI, đây không phải khai thác vào dự án. Nhờ “blacklist” trước khi mở giao dịch, các nỗ lực đánh cắp từ Lockbox đã bị chặn, và đội ngũ đang hỗ trợ người dùng bị ảnh hưởng.
EIP-7702 có phải là lỗ hổng của Ethereum?
Không. EIP-7702 nhằm cải thiện trải nghiệm bằng ủy quyền thực thi tạm thời. Tuy nhiên, kẻ xấu lợi dụng yếu tố con người và chữ ký offchain để lừa rút tiền, nên rủi ro nằm ở cách sử dụng.
Làm sao nhận biết hợp đồng giả mạo “bundled clones”?
Chỉ lấy địa chỉ từ kênh chính thức, đối chiếu trên Etherscan, kiểm tra mã nguồn đã xác minh, cảnh giác tên miền/URL tương tự, không theo liên kết quảng cáo không rõ nguồn gốc.
Tôi đã ký nhầm thông điệp offchain, cần làm gì?
Ngay lập tức chuyển tài sản sang ví an toàn, thu hồi quyền đã cấp nếu có, kiểm tra nhật ký hoạt động, và liên hệ đội ngũ dự án cùng chuyên gia an ninh để được hướng dẫn tiếp theo.
