قال مشروع التمويل اللامركزي World Liberty Financial المُرمز (WLFI)، المرتبط بعائلة ترامب، إنه نجح في إحباط محاولات اختراق استهدفت إطلاق رمزه من خلال إدراج المحافظ المخترقة على القائمة السوداء مباشرة على السلسلة.

وأوضح المشروع يوم الأربعاء أن محفظة مخصّصة نفذت معاملات "إدراج جماعي على القائمة السوداء" لتعطيل الحسابات التي جرى تحديدها كمخترقة قبل الإطلاق. وأكد الفريق أن محاولات الاختراق نتجت عن اختراقات من جانب المستخدمين أنفسهم مثل فقدان المفاتيح الخاصة، مشددًا على أن الحوادث لم تكن ثغرة في مشروع WLFI نفسه.

وأضاف المشروع أن هذه الجهود منعت محاولات سرقة من آلية Lockbox، وهي آلية استحقاق (Vesting) مخصصة لحماية المخصصات المجمّدة من الرموز للمستخدمين. وجاء في البيان:

"لقد سمح لنا ذلك بمنع محاولات السرقة من Lockbox."

وأرفق الفريق رابطين لمعاملات على Etherscan تُظهر الإدراج على القائمة السوداء قيد التنفيذ. كما أكد أنه يعمل مع المستخدمين المتضررين لمساعدتهم على استعادة الوصول إلى حساباتهم.

المصدر: World Liberty Financial

القراصنة يواصلون استهداف مستخدمي WLFI

يوم الاثنين، أطلق مشروع World Liberty Financial 24.6 مليار رمز WLFI عند بدء التداول لأول مرة. ومنذ ذلك الحين، حاول القراصنة والمحتالون استغلال الحدث عبر استهداف المستخدمين والمشروع نفسه.

وقد حددت شركة التحليلات Bubblemaps عقودًا ذكية مقلدة "Bundled Clones" تُحاكي المشروع الأصلي، بهدف خداع المستخدمين للتفاعل مع العقود المزيفة وسرقة أصولهم المشفرة.

كما أشار يو شيان، مؤسس شركة الأمن السيبراني SlowMist، إلى أن بعض حاملي WLFI يتعرضون للاستنزاف من خلال استغلال معروف يعتمد على ترقية EIP-7702 في شبكة إيثريوم.

وقال شيان إن حاملي WLFI يتم استهدافهم عبر ما وصفه بـ "استغلال التصيد الكلاسيكي لـ EIP-7702"، حيث يزرع المهاجمون عناوين خاضعة لسيطرتهم داخل محافظ الضحايا، ما يتيح لهم "خطف" الرموز بمجرد إجراء إيداع.

ترقية EIP-7702 فتحت ثغرة للهجمات خارج السلسلة

أدخلت ترقية Pectra على شبكة إيثريوم في مايو تحسين EIP-7702، والذي سمح للحسابات الخارجية بالتصرف مؤقتًا كمحافظ عقود ذكية، بما يُمكّن من تفويض حقوق التنفيذ وإجراء معاملات مجمّعة — بهدف تسهيل تجربة المستخدم.

لكن، ورغم أن الهدف من الترقية كان تحسين تجربة المستخدم، فقد حدد خبراء الأمن متجه هجوم جديدًا يتيح للقراصنة استنزاف الأموال باستخدام توقيع خارج السلسلة فقط.

وكان أردا عثمان، مدقق عقود ذكية في Solidity، قد أوضح سابقًا لـ Cointelegraph أنه من الممكن للمهاجمين سرقة أموال المستخدمين باستخدام رسالة موقعة خارج السلسلة فقط، دون الحاجة إلى توقيع معاملة مباشرة على السلسلة.