以太坊EIP-7702升级漏洞暴露，特朗普加密项目WLFI成首批受害者

以太坊于5月7日推出的Pectra升级中的EIP-7702标准，正成为黑客攻击的温床。安全研究机构SlowMist指出，黑客正利用该标准中允许外部账户（EOA）临时委托智能合约执行逻辑的特性，植入恶意代码，从而窃取用户资产。Donald Trump的加密项目World Liberty Financial（WLFI）已成为首批受害者，多名WLFI代币持有者因私钥泄露与恶意委托合约部署的结合而损失资产。

EIP-7702旨在通过允许钱包执行智能合约但不永久变为合约地址，以提升用户体验并降低Gas费用。然而，当与私钥泄露结合时，该机制的实现产生了严重的安全性隐患。黑客通过预先部署的恶意委托合约，利用DELEGATECALL函数在受害者钱包的上下文中执行恶意代码，进而完全控制钱包内的存储和资金，导致所有流入的ETH及代币被自动转移至攻击者控制的地址。

此漏洞已导致一系列攻击事件。例如，8月份发生的一起网络钓鱼攻击导致用户签署了伪装的批量交易，造成154万美元损失。Inferno Drainer等攻击团伙通过恶意委托授权，在2025年已从不同链上窃取超过900万美元。Wintermute的研究也表明，绝大多数EIP-7702委托与自动扫款合约相关联，构成了系统性威胁。

除了WLFI代币被盗，EIP-7702的漏洞还催生了多种攻击方式，包括冒充DeFi平台的网络钓鱼活动、签名消息远程植入恶意代码的链下攻击，以及利用DELEGATECALL绕过链上安全逻辑的闪电贷和重入攻击。安全专家建议用户警惕可疑的委托请求，核实交易权限，并及时取消已泄露的委托合约。然而，EOA委托执行的根本设计缺陷，为攻击者提供了持续可利用的攻击面。

查看消息来源