Cảnh báo rủi ro bảo mật EIP-7702: Người dùng WLFI đối mặt nguy cơ bị lừa đảo

Nhà sáng lập SlowMist cảnh báo rủi ro bảo mật từ EIP-7702 khiến người dùng WLFI có nguy cơ bị lừa đảo

Người nắm giữ token quản trị của World Liberty Financial (WLFI) đang trở thành mục tiêu của các cuộc tấn công lừa đảo tinh vi, lợi dụng tính năng mới trong bản nâng cấp EIP-7702 của Ethereum(ETH) – thông tin từ Yu Xian, nhà sáng lập công ty bảo mật blockchain SlowMist, chia sẻ ngày 24 (giờ địa phương).

Tính năng EIP-7702 được tích hợp trong bản cập nhật “Pectra” của Ethereum vào tháng 5 nhằm cải thiện trải nghiệm người dùng. Cụ thể, tính năng này cho phép ví thông thường (externally owned account - EOA) tạm thời hoạt động như ví hợp đồng thông minh, hỗ trợ uỷ quyền thực thi hành động và thực hiện giao dịch hàng loạt. Tuy nhiên, theo Yu Xian, các nhóm hacker đang "lợi dụng chính điểm mạnh" này để thực hiện các đợt tấn công có chủ đích.

Yu Xian cho biết trên nền tảng X (trước đây là Twitter): “Kẻ tấn công đang cài sẵn địa chỉ do chúng kiểm soát vào ví nạn nhân. Khi token WLFI được chuyển vào ví, chúng sẽ tiến hành ‘sniping’ — tức chiếm đoạt ngay lập tức". Ông nhấn mạnh thủ đoạn trên đang khiến nhiều người nắm giữ token WLFI chịu thiệt hại thực tế.

Bình luận: “Sniping” là kỹ thuật đánh cắp nhanh, thường được phối hợp với các lệnh tự động cao cấp nhằm chiếm đoạt token trong tích tắc – vốn từng phổ biến trong các giao dịch airdrop hoặc ICO trước đây.

Không chỉ dừng lại ở một vài trường hợp đơn lẻ, Yu Xian cho biết đã ghi nhận nhiều người sở hữu nhiều ví WLFI bị mất token cùng lúc. Ông cho rằng phương thức tấn công chủ yếu đến từ các hợp đồng độc hại lợi dụng EIP-7702 với điều kiện tiên quyết là nạn nhân bị rò rỉ khóa cá nhân.

Bình luận: Đây tiếp tục là hồi chuông cảnh báo rằng nâng cấp chức năng trong blockchain, nếu không được người dùng hiểu rõ, hoàn toàn có thể trở thành điểm yếu bảo mật.

Trường hợp của WLFI là ví dụ điển hình cho thấy các dự án nhỏ hoặc có cộng đồng chưa được trang bị đầy đủ kiến thức bảo mật rất dễ trở thành “con mồi” tiềm năng. Theo các chuyên gia bảo mật, *người dùng nên đặc biệt cảnh giác với quyền truy cập ví và tuyệt đối không chia sẻ khóa cá nhân* dưới bất kỳ hình thức nào, nhất là khi các tính năng mới như “ủy quyền hợp đồng” đang trở thành công cụ hai lưỡi cho các hacker.