تام شمس - الثلاثاء 2 سبتمبر 2025 01:44 مساءً - يتعرض حاملو رموز الحوكمة في مشروع World Liberty Financial المُرمز (WLFI) لهجوم استغلالي معروف يعتمد على ثغرة EIP-7702 في شبكة إيثريوم، وفقًا لما قاله مؤسس شركة الأمن السيبراني SlowMist، يو شيان.

أطلقت ترقية Pectra لشبكة إيثريوم في مايو تحسين EIP-7702، الذي يتيح للحسابات الخارجية التصرف مؤقتًا مثل محافظ العقود الذكية، بما يسمح بتفويض حقوق التنفيذ وإجراء معاملات مجمعة وهي ميزات تهدف إلى تسهيل تجربة المستخدم.

وأوضح شيان في منشور على منصة X يوم الاثنين أن القراصنة يستغلون هذا التحديث عبر زرع عنوان خاضع لسيطرتهم مسبقًا داخل محافظ الضحايا، ثم يقومون سريعًا بـ"خطف" الرموز عند إيداعها وفي هذه الحالة، يستهدفون رموز WLFI.

"واجهنا حالة أخرى سُرقت فيها جميع رموز WLFI من عناوين متعددة لمستخدم واحد. بالنظر إلى أسلوب السرقة، يتضح أنه استغلال لعقد تفويض ضار مبني على EIP-7702، مع الشرط المسبق وهو تسريب المفتاح الخاص." يو شيان

كيف تتم العملية؟

قبل الإطلاق الرسمي، أفاد أحد مستخدمي منصة X في 31 أغسطس أن صديقه فقد جميع رموز WLFI الخاصة به بعد أن حوّل إيثر (ETH) إلى محفظته.

وفي ردّه، أوضح شيان أن هذه حالة نموذجية لما وصفه بـ "استغلال التصيّد الكلاسيكي EIP-7702"، حيث يُسرق المفتاح الخاص، ويزرع المهاجم عقد تفويض خبيث داخل عنوان محفظة الضحية المرتبط بالمفتاح.

وفي منشور سابق، أشار شيان إلى أن المفاتيح الخاصة غالبًا ما تُسرق عبر هجمات تصيّد.

وقال:

"بمجرد أن تحاول تحويل ما تبقى من رموز في المحفظة، مثل WLFI المحجوزة في عقد Lockbox، فإن رسوم الغاز التي تدفعها ستُنقل تلقائيًا إلى المهاجم."

واقترح شيان حلًا يتمثل في "إلغاء أو استبدال عقد EIP-7702 المزروع بآخر خاص بك"، إضافةً إلى نقل الرموز من المحفظة المخترقة في أسرع وقت ممكن.

كيف تتم العملية؟

قبل الإطلاق الرسمي، أفاد أحد مستخدمي منصة X في 31 أغسطس أن صديقه فقد جميع رموز WLFI الخاصة به بعد أن حوّل إيثر (ETH) إلى محفظته.

وفي ردّه، أوضح شيان أن هذه حالة نموذجية لما وصفه بـ "استغلال التصيّد الكلاسيكي EIP-7702"، حيث يُسرق المفتاح الخاص، ويزرع المهاجم عقد تفويض خبيث داخل عنوان محفظة الضحية المرتبط بالمفتاح.

وفي منشور سابق، أشار شيان إلى أن المفاتيح الخاصة غالبًا ما تُسرق عبر هجمات تصيّد.

وقال:

"بمجرد أن تحاول تحويل ما تبقى من رموز في المحفظة، مثل WLFI المحجوزة في عقد Lockbox، فإن رسوم الغاز التي تدفعها ستُنقل تلقائيًا إلى المهاجم."

واقترح شيان حلًا يتمثل في "إلغاء أو استبدال عقد EIP-7702 المزروع بآخر خاص بك"، إضافةً إلى نقل الرموز من المحفظة المخترقة في أسرع وقت ممكن.

مستخدمو WLFI يناقشون السرقات في المنتديات

أبلغ بعض المستخدمين عن مشاكل مماثلة في منتديات WLFI.

قال مستخدم باسم hakanemiratlas إن محفظته تعرضت للاختراق في أكتوبر الماضي، وهو الآن قلق على رموز WLFI الخاصة به:

"تمكنت فقط من نقل 20% من رموز WLFI إلى محفظة جديدة، وكان سباقًا مرهقًا مع المخترق. حتى إرسال الإيثر لرسوم الغاز كان محفوفًا بالمخاطر، إذ كان يمكن سرقته فورًا."
وأضاف:
"ما زال 80% من رموزي عالقًا في المحفظة المخترقة، وأشعر بقلق شديد من أن يقوم المخترق بنقلها فور فك قفلها."

وقال مستخدم آخر باسم Anton إن كثيرين يواجهون المشكلة نفسها بسبب طريقة تنفيذ الطرح الأولي:

"المحفظة التي استُخدمت للانضمام إلى قائمة WLFI البيضاء هي نفسها المطلوبة للمشاركة في البيع المسبق. وبمجرد وصول الرموز، سيقوم الروبوتات الآلية بسرقتها قبل أن نتمكن من نقلها إلى محفظة آمنة."

وطالب Anton فريق WLFI بالنظر في خيار النقل المباشر للرموز كحل بديل.

المحتالون يستهدفون إطلاق WLFI

ظهر العديد من عمليات الاحتيال المتعلقة بـ WLFI قبل وبعد إطلاق الرمز. فقد حددت شركة التحليلات Bubblemaps عدة عقود ذكية مقلدة (Bundled Clones) تحاكي مشاريع كريبتو قائمة.

في الوقت نفسه، حذّر فريق WLFI من أنه لا يتواصل مع المستخدمين عبر الرسائل المباشرة على أي منصة، وأن قنوات الدعم الرسمية الوحيدة هي عبر البريد الإلكتروني:

"إذا استلمت رسالة مباشرة تدّعي أنها من فريقنا، فهي احتيالية ويجب تجاهلها. وإذا تلقيت بريدًا إلكترونيًا، تحقق دائمًا من أنه صادر عن أحد نطاقاتنا الرسمية قبل الرد." فريق WLFI