去中心化金融（DeFi）项目World Liberty Financial（WLFI）宣布，其链上黑名单机制成功阻止了因终端用户账户被攻陷而引发的盗窃尝试。

WLFI团队表示，通过在链上将已受影响的钱包列入黑名单，有效阻止了针对其代币发行的黑客攻击尝试。

WLFI于周三透露，一个指定钱包发起了“大规模黑名单”交易，提前禁用了已确认遭到攻陷的账户。团队指出，这些攻击源于终端用户账户安全问题，例如私钥丢失，并强调这些事件并非WLFI项目本身的缺陷。

WLFI声称，其黑名单机制成功护卫了“Lockbox”归属机制，保护用户的锁定代币分配，显著减少了盗窃行为。WLFI表示：“这一措施使我们能够有效阻止针对Lockbox的盗窃企图”，并提供了两个Etherscan交易链接以展示黑名单操作过程。

团队还表示，他们正在协助受影响用户恢复其账户访问权限。

不法分子继续针对WLFI用户

在周一，World Liberty Financial解锁了246亿WLFI代币，并首次开放交易。随后，黑客和诈骗者试图利用这一机会进行攻击，瞄准用户及项目。

分析公司Bubblemaps发现，不法分子批量仿造了该项目的智能合约。这些假合约的目的是诱导用户与之互动，从而窃取加密资产。

安全公司SlowMist的创始人余弦报告称，一些WLFI持有者的代币通过以太坊（ETH）改进提案EIP-7702中已知的漏洞被盗。

余弦指出，WLFI持有者面临“经典EIP-7702钓鱼漏洞”的攻击。他解释说，黑客将其控制的地址植入受害者的钱包，一旦用户存入代币，便能直接盗走这些资产。

EIP-7702升级带来了链下攻击的新途径

在五月，以太坊（ETH）Pectra升级引入了EIP-7702，允许外部账户暂时充当智能合约钱包。这一功能旨在优化用户体验，允许委托执行权和批量操作。

然而，尽管这一升级旨在提升用户体验，安全专家却发现了新的攻击方式，黑客可以仅通过链下签名便窃取用户资金。

Solidity安全审计员Arda Usman曾告诉Cointelegraph，攻击者可以仅凭链下签名消息窃取用户资金，而无需用户直接签署链上交易。

相关推荐：即使现货以太坊ETF流出3亿美元，ETH衍生品依然转向看涨