近年来,区块链和加密货币领域的快速发展伴随着安全挑战的增加。5月份以太坊Pectra升级引入了EIP-7702,旨在优化用户体验,支持外部账户临时扮演智能合约钱包的角色,实现批量交易及委托执行等功能。然而,正如最近对World Liberty Financial(WLFI)代币持有者的攻击事件所显示的,这一升级也带来了新的安全隐患,黑客利用该漏洞成功窃取大量WLFI代币,令投资者和社区高度关注。EIP-7702漏洞攻击的核心是通过恶意的委托智能合约,黑客能够在受害者钱包中预先植入控制地址,并在受害者进行交易时快速转走代币。这种攻击的前提是受害者的私钥泄露,而私钥最常见的泄露方式依然是钓鱼攻击。黑客以此成功侵入受害者钱包后,他们会利用EIP-7702的委托机制,控制受害者账户的交易权限,实现自动化盗窃。
根据安全专家SlowMist创始人余显的分析,攻击者利用这一漏洞的流程清晰且效率极高,往往在代币转入钱包的瞬间便触发偷盗。受害者几乎没有反应时间,导致WLFI代币迅速被转移,造成巨大损失。WLFI是由特朗普支持的World Liberty Financial项目发行的治理代币,发行总量超过246亿枚。自2025年9月2日首次交易以来,便陆续有持有人在转账以太币(ETH)用于支付燃料费时遭遇代币被盗事件。社区论坛和社交媒体上充斥着受害者的求助和讨论,他们报告资金被自动清空、发送燃料费也存在被盗风险,陷入了"抢跑"与"防盗"的困境。多名WLFI持有者表示,钱包的部分代币虽成功转移至新钱包,但仍有大量资金被黑客控制,处于极高风险之中。
WLFI代币的空投及预售模式也被指存在不足,很多用户钱包在白名单阶段就遭植入恶意合约,增加了被劫持的风险。攻击发生的背景是,EIP-7702允许外部账号暂时享有智能合约钱包的执行权,这种机制在提升交易效率的同时,也为黑客提供了新的攻击面。传统安全防护难以完全覆盖这种基于委托执行的漏洞,尤其是在私钥已被泄露的前提下,极易导致用户资产被快速清空。针对这类攻击,安全专家建议用户立即对被植入恶意EIP-7702合约的钱包进行取消或替换操作,尽快将代币转移到安全钱包。此外,用户务必加强私钥保护,避免钓鱼网站及恶意信息,谨慎操作是防范根本。WLFI团队也多次提醒,官方不会通过任何私信渠道联络用户,所有官方沟通均通过邮箱进行。
用户应谨防伪装成官方的诈骗信息,避免进一步造成损失。随着市场的快速扩展,山寨合约及"假冒"WLFI项目不断涌现,监管和社区审查难度加大,骗子借机推销假代币和虚假激励,令安全形势更加严峻。此次EIP-7702漏洞事件同样提醒整个加密行业,智能合约升级和新功能上线时必须兼顾安全性,全面评估潜在攻击面,防止漏洞被恶意利用。普通投资者应该提高安全意识,正确管理数字资产钱包,及时关注官方公告,避免盲目操作。综上所述,EIP-7702的漏洞利用事件暴露了新型智能合约委托机制中的潜在风险,警示用户加强私钥安全和操作警惕性,WLFI代币的损失只是冰山一角。只有生态系统内所有参与者共同努力,推动技术安全升级和规范用户保护,才能真正保障加密资产的长远安全。
加密用户切忌轻信来历不明的信息与渠道,使用官方推荐的钱包工具及服务,方能有效防范类似攻击的发生。面对黑客不断升级的攻击手段,防御永远是一场没有终点的战斗。尤其是在新技术应用初期,风险与机遇并存,唯有不断学习、安全重视和快速响应,才能保护资产安全,实现区块链技术的健康发展。 。
