Holder WLFI đang bị nhắm mục tiêu bởi một chuỗi tấn công phishing lợi dụng EIP-7702 trên Ethereum, theo Yu Xian (SlowMist). Cơ chế cấy “delegate contract” cho phép kẻ xấu quét sạch Token ngay khi nạn nhân nạp ETH hoặc nhận WLFI.
EIP-7702 cho phép tài khoản thường tạm thời hành xử như ví smart contract để ủy quyền thực thi và giao dịch theo lô. Khi khóa riêng bị lộ, kẻ tấn công có thể gài sẵn hợp đồng ủy quyền độc hại vào địa chỉ ví và chiếm đoạt WLFI ngay khi phát sinh giao dịch.
- Phishing EIP-7702 đang quét Token WLFI từ các ví bị lộ khóa riêng, theo SlowMist.
- Cơ chế: gài sẵn delegate contract, chiếm quyền thực thi, rút gas và WLFI ngay khi nạn nhân nạp tiền hoặc chuyển.
- Khuyến nghị: hủy/ghi đè ủy quyền EIP-7702, chuyển Token khỏi ví bị xâm phạm, cảnh giác các hợp đồng giả mạo và kênh hỗ trợ giả.
WLFI là gì?
WLFI là Token của World Liberty Financial, được Donald Trump hậu thuẫn, bắt đầu giao dịch vào sáng thứ 2 với tổng cung 24,66 tỷ Token.
Việc ra mắt WLFI thu hút sự chú ý đáng kể, kéo theo các chiến dịch lừa đảo nhắm vào cộng đồng. Trong giai đoạn đầu giao dịch, Token mới thường là mục tiêu của các “sweeper bot” và hợp đồng giả mạo, khiến Holder phải đặc biệt thận trọng.
Vì sao holder WLFI đang bị tấn công?
Theo Yu Xian (SlowMist), tin tặc đang khai thác EIP-7702 để cấy trước địa chỉ do hacker kiểm soát vào ví nạn nhân và “giật” WLFI ngay khi phát sinh nạp tiền hay giao dịch.
Trong các bài đăng trên X, Xian mô tả một kỹ thuật lừa đảo lặp lại: kẻ xấu nhận được khóa riêng qua phishing, sau đó gắn một delegate contract độc hại lên địa chỉ tương ứng. Khi nạn nhân nạp ETH làm phí gas hoặc khi WLFI về ví, bot tự động thực thi lệnh rút.
“Gặp thêm một người chơi có nhiều địa chỉ bị mất hết WLFI. Xem phương thức trộm cắp thì lại là khai thác hợp đồng ủy quyền 7702 độc hại, với điều kiện tiên quyết là rò rỉ khóa riêng.”
– Yu Xian, Nhà sáng lập SlowMist, thứ 2, nguồn: X (https://x.com/evilcos/status/1962534941901902057)
EIP-7702 là gì?
EIP-7702 là đề xuất cho phép tài khoản bên ngoài tạm thời hành xử như ví smart contract, ủy quyền quyền thực thi và thực hiện giao dịch theo lô nhằm mượt hóa trải nghiệm người dùng.
Theo đặc tả EIP-7702, cơ chế ủy quyền giúp gom và tự động hóa thao tác, nhưng cũng mở bề mặt rủi ro nếu khóa riêng bị lộ hoặc hợp đồng ủy quyền bị lạm dụng. Khi đó, kẻ tấn công có thể chiếm quyền thực thi để thay mặt nạn nhân ký và gửi lệnh trái phép. Nguồn: EIP-7702 (Ethereum, 2024).
Phishing EIP-7702 hoạt động ra sao?
Kẻ xấu gài sẵn hợp đồng ủy quyền vào địa chỉ của nạn nhân rồi chờ khoảnh khắc nạp ETH hoặc nhận WLFI để kích hoạt quét Token.
Quy trình thường thấy: 1) khóa riêng bị đánh cắp qua phishing, 2) gắn delegate contract độc hại, 3) khi có giao dịch, hợp đồng này chiếm quyền thực thi, 4) gas và Token bị rút ngay lập tức. Theo Xian, kể cả khi nạn nhân cố chuyển phần Token còn lại, gas nạp vào cũng có thể bị chuyển đi ngay.
“Ngay khi bạn cố chuyển đi số Token còn lại, như WLFI trong hợp đồng Lockbox, lượng gas bạn nạp sẽ bị tự động chuyển đi.”
– Yu Xian, Nhà sáng lập SlowMist, 31/8, nguồn: X (https://x.com/evilcos/status/1962118451285385720)
Dấu hiệu nào cho thấy ví có thể bị gài delegate contract độc hại?
Dấu hiệu điển hình là ETH nạp làm gas bị rút ngay, hoặc WLFI vừa về ví đã bị chuyển đi tức thì dù bạn chưa thao tác.
Các “sweeper bot” thường chạy liên tục, theo dõi địa chỉ đã bị cấy ủy quyền. Khi phát hiện số dư đủ, chúng kích hoạt giao dịch rút. Nếu bạn thấy giao dịch tự phát sinh từ ví khi không hề ký, hoặc các lệnh lạ liên quan ủy quyền/thực thi, hãy giả định ví đã bị xâm phạm.
Làm gì khi ví đã bị ảnh hưởng?
Xian khuyến nghị hủy hoặc thay thế ủy quyền EIP-7702 bị cài và chuyển Token khỏi ví bị xâm phạm càng sớm càng tốt.
Nếu còn quyền truy cập, hãy di chuyển WLFI sang ví mới an toàn và cân nhắc thao tác trên mạng có phí gas thấp để giảm “cửa sổ” bị quét. Với ủy quyền đã bị cắm, bạn có thể cần giao dịch kỹ thuật nhằm ghi đè ủy quyền bằng cấu hình của chính bạn, rồi rút tài sản ngay lập tức. Nếu không tự tin, nên nhờ đội ngũ bảo mật có uy tín hỗ trợ.
Vì sao người tham gia whitelist/presale WLFI có nguy cơ cao?
Theo phản ánh trên diễn đàn WLFI, ví dùng để whitelist bắt buộc dùng tiếp cho presale, khiến người từng bị lộ khóa riêng khó đổi ví an toàn.
Một người dùng có tên Anton cho biết nhiều người gặp vấn đề tương tự vì cách triển khai airdrop/presale: khi Token về ví bị lộ, bot sẽ “quét” ngay trước khi chủ ví kịp chuyển sang ví an toàn. Anh cũng đề xuất đội ngũ WLFI cân nhắc phương án chuyển trực tiếp đến ví do người dùng chỉ định. Nguồn: Diễn đàn WLFI.
Cộng đồng WLFI đang đối mặt những gì?
Nhiều người dùng báo cáo giảm hoặc rủi ro mất WLFI trên diễn đàn chính thức của dự án.
Một người dùng tên hakanemiratlas nói ví của anh bị hack từ tháng 10 năm trước, hiện chỉ kịp chuyển 20% WLFI sang ví mới trong tình trạng “chạy đua” với hacker, 80% còn lại mắc kẹt và có thể bị chuyển đi ngay khi mở khóa. Những trường hợp này cho thấy áp lực thời gian cực lớn khi ví đã bị cấy ủy quyền độc hại.
Những lừa đảo nào xuất hiện quanh thời điểm ra mắt WLFI?
Trước và sau khi WLFI ra mắt, xuất hiện nhiều hợp đồng giả mạo và chiêu trò phishing nhắm vào cộng đồng.
Bubblemaps ghi nhận các “bundled clones” bắt chước hợp đồng những dự án quen thuộc, đánh lừa người dùng ký sai địa chỉ. Đội ngũ WLFI cũng cảnh báo không liên hệ hỗ trợ qua tin nhắn trực tiếp trên bất kỳ nền tảng nào, chỉ dùng email từ tên miền chính thức. Nguồn: Bubblemaps; Diễn đàn WLFI.
Làm thế nào giảm thiểu rủi ro với EIP-7702 và Token mới?
Nguyên tắc chung là cô lập rủi ro và giảm quyền, tránh để một ví duy nhất kiêm whitelist, presale và lưu trữ dài hạn.
Cân nhắc: dùng ví mới dành riêng cho airdrop/presale; kiểm tra kỹ hợp đồng, quyền ủy quyền và lịch sử giao dịch trước khi ký; chuyển WLFI sang ví lạnh hoặc ví khác ngay khi nhận; tránh nạp nhiều ETH vào ví nghi ngờ; theo dõi kênh chính thức để đối chiếu tên miền, hợp đồng, hướng dẫn bảo mật.
WLFI đã đưa ra cảnh báo gì?
Đội ngũ WLFI cho biết họ không hỗ trợ qua tin nhắn trực tiếp; người dùng cần kiểm tra email có đến từ tên miền chính thức trước khi phản hồi.
Việc mạo danh đội ngũ qua DM là chiêu thức phổ biến nhằm dẫn dụ người dùng ký giao dịch hoặc tiết lộ seed phrase. Cộng đồng nên bám sát các kênh chính thức được WLFI công bố và báo cáo kịp thời các trường hợp đáng ngờ. Nguồn: Diễn đàn WLFI.
Các phát biểu và nguồn đã dẫn liên quan
Bài viết sử dụng phát hiện và cảnh báo do Yu Xian (SlowMist) đăng trên X về phishing EIP-7702, đặc tả EIP-7702 từ Ethereum, và thông tin người dùng/đội ngũ WLFI từ diễn đàn chính thức, cùng lưu ý từ Bubblemaps về hợp đồng giả mạo.
“Đây rõ ràng là ví dụ kinh điển của phishing EIP-7702: khóa riêng bị lộ, kẻ xấu gài hợp đồng ủy quyền vào địa chỉ ví nạn nhân.”
– Yu Xian, Nhà sáng lập SlowMist, 31/8, nguồn: X (https://x.com/evilcos/status/1962118451285385720)
Câu hỏi thường gặp
Phishing EIP-7702 là gì?
Đó là kỹ thuật lợi dụng ủy quyền thực thi của EIP-7702. Khi khóa riêng bị lộ, kẻ xấu gài hợp đồng ủy quyền độc hại và tự động quét Token/gas ngay khi có giao dịch. Nguồn: Yu Xian, SlowMist.
Làm sao biết ví WLFI của tôi đã bị cấy ủy quyền?
Nếu ETH nạp làm gas biến mất ngay, hoặc WLFI bị chuyển đi tức thì mà bạn không ký, rất có thể ví đã bị gài delegate contract độc hại. Hãy dừng nạp thêm tiền và xử lý khẩn cấp.
Tôi có thể cứu WLFI khỏi ví bị xâm phạm không?
Có thể, nếu còn quyền truy cập: ghi đè/hủy ủy quyền EIP-7702 rồi chuyển Token ngay sang ví mới. Cần thao tác nhanh, tránh để bot kịp quét. Tham khảo khuyến nghị của Yu Xian.
WLFI có kênh hỗ trợ chính thức nào?
WLFI khẳng định không hỗ trợ qua DM. Chỉ phản hồi email từ tên miền chính thức của dự án, kiểm tra kỹ trước khi trả lời. Nguồn: Diễn đàn WLFI.
Làm sao tránh hợp đồng giả mạo khi giao dịch WLFI?
Luôn đối chiếu địa chỉ hợp đồng từ kênh chính thức, cảnh giác “bundled clones”, thử giao dịch nhỏ trước, và tách ví dùng cho presale khỏi ví lưu trữ dài hạn. Nguồn: Bubblemaps, diễn đàn WLFI.