پروژه مالی غیرمتمرکز WLFI که با حمایت ترامپ شناخته میشود، اعلام کرد تلاشهایشان مانع از سرقتهای ناشی از کیفپولهای به خطر افتاده کاربران شده است. این پروژه روز چهارشنبه اعلام کرد که یک کیفپول مشخص اقدام به انجام تراکنشهای «فهرست سیاه انبوه» کرده تا حسابهایی که به خطر افتادهاند را قبل از راهاندازی رسمی توکن WLFI غیرفعال کند.
تیم WLFI تأکید کرد که حملات هکری DeFi ناشی از مشکلات کاربران مانند از دست دادن کلید خصوصی بوده و نقصی در پروژه اصلی وجود نداشته است. این اقدامات از سرقت توکنهای ذخیره شده در «لاکباکس» که مکانیزم قفل توکنها برای کاربران است، جلوگیری کرده است.
تجربه WLFI در مقابله با حملات هکر
در روز دوشنبه، WLFI بالغ بر 24.6 میلیارد توکن خود را برای اولین بار وارد بازار کرد که بلافاصله مورد هدف هکرها و کلاهبرداران قرار گرفت. شرکت تحلیلگر Bubblemaps قراردادهای هوشمند جعلی و مشابه پروژه را شناسایی کرد که با هدف فریب کاربران و سرقت داراییهایشان ایجاد شدهاند.
یو شیان، بنیانگذار شرکت امنیتی SlowMist، اعلام کرد برخی از دارندگان WLFI با استفاده از آسیبپذیری در ارتقاء EIP-7702 اتریوم مورد حمله فیشینگ قرار گرفتهاند که به هکرها اجازه میدهد با قراردادن آدرسهای کنترل شده در کیفپول قربانی، توکنها را سرقت کنند.
بررسی فنی حملات هکری DeFi و نقش EIP-7702 در امنیت توکن WLFI
ارتقاء Pectra اتریوم در ماه مه این قابلیت را فراهم کرد که حسابهای عادی مانند کیفپولهای قرارداد هوشمند عمل کنند و امکاناتی مانند تفویض حق اجرا و تراکنشهای دستهای را بهبود بخشد. با این حال، کارشناسان امنیتی هشدار دادهاند که این ویژگی میتواند به هکرها اجازه دهد تنها با یک پیام امضا شده خارج از زنجیره، داراییهای کاربران را تخلیه کنند.
آردا عثمان، ممیزیکننده قراردادهای هوشمند، به کوینتلگراف گفته است که این حمله نیازی به امضای تراکنش درون زنجیرهای ندارد و از پیامهای امضا شده خارج از زنجیره بهره میبرد. این تحولات نشاندهنده اهمیت بالای امنیت در پروژههای DeFi و نیاز به نظارت دقیق بر قراردادهای هوشمند است.
