Hackers estão explorando sistematicamente a atualização EIP-7702 do Ethereum para roubar tokens da World Liberty Financial do projeto de criptomoedas de Donald Trump, segundo pesquisadores de segurança da SlowMist.
Os ataques aproveitam uma vulnerabilidade na atualização Pectra de maio, que permite que contas externamente possuídas deleguem o controle a contratos inteligentes, permitindo que atacantes implantem código malicioso que drena instantaneamente ETH e tokens recebidos.
World Liberty Financial Torna-se a Última Vítima de Exploração no Ethereum
Segundo a SlowMist, vários detentores de tokens WLFI perderam seus ativos após hackers combinarem roubo de chaves privadas com a implantação de contratos delegados maliciosos.
A técnica de exploração evoluiu rapidamente desde que a atualização Pectra do Ethereum foi lançada em 7 de maio, com mais de 97% das delegações do EIP-7702 ligadas a contratos idênticos de carteira projetados para varrer fundos automaticamente.
A empresa de segurança SlowMist alertou que vítimas cuja chave privada foi comprometida enfrentam perda total de ativos por meio de delegados maliciosos pré-plantados.
Quando os usuários transferem ETH para gas ou recebem tokens como WLFI, os contratos maliciosos redirecionam imediatamente todos os fundos para endereços controlados pelos atacantes, deixando as carteiras permanentemente comprometidas.
A vulnerabilidade decorre do design do EIP-7702, que permite que EOAs tomem temporariamente a lógica de execução de contratos inteligentes designados.
Os atacantes exploram essa vulnerabilidade instalando contratos delegados que utilizam a função DELEGATECALL para executar código malicioso no contexto da carteira da vítima, obtendo assim controle total sobre o armazenamento e os fundos.
O sonho da Abstração de Conta do Ethereum torna-se um pesadelo de segurança
EIP-7702 foi criado para melhorar a experiência do usuário no Ethereum, permitindo que carteiras executem contratos inteligentes sem se tornarem permanentemente endereços baseados em contratos.
A atualização visava reduzir as taxas de gas por meio de transações agrupadas e permitir liquidação usando criptomoedas diferentes de ETH, apoiando a visão de Vitalik Buterin de uma adoção suave do Web3.
No entanto, a implementação criou riscos críticos de segurança quando combinada com o comprometimento de chaves privadas.
Hackers pré-instalam endereços delegados maliciosos que obtêm controle completo da carteira por meio de operações DELEGATECALL, efetivamente transformando as carteiras das vítimas em contratos inteligentes controlados pelos atacantes, mantendo o endereço original.
Incidentes notáveis incluem um ataque de phishing de US$ 1,54 milhão em agosto, no qual as vítimas assinaram transações em lote disfarçadas, e o drainer de carteira MetaMask Inferno Drainer de US$ 146.000 por autorização de delegação maliciosa.
ALERT: An address upgraded to EIP-7702 lost $146,551 through malicious batched transactions in phishing attack. pic.twitter.com/7GbamqOZVI
n
Quando os usuários transferem ETH para consumo de gás ou recebem tokens como WLFI, os contratos maliciosos redirecionam imediatamente todos os fundos para endereços controlados pelos atacantes, deixando as carteiras permanentemente comprometidas.
A vulnerabilidade decorre do design do EIP-7702, que permite que EOAs tomem temporariamente a lógica de execução a partir de contratos designados.
O FIFA: Ethereum’s Account Abstraction Dream Becomes Security Nightmare
Attackers exploit this vulnerability by installing delegate contracts that use the DELEGATECALL function to execute malicious code within the victim’s wallet context, thereby gaining complete control over the storage and funds.
Notable incidents include a $1.54 million phishing attack in August, where victims signed disguised batch transactions, and Inferno Drainer’s $146,000 MetaMask wallet drain through malicious delegation authorization.
Attackers exploit this vulnerability by installing delegate contracts that use the DELEGATECALL function to execute malicious code within the victim’s wallet context, thereby gaining complete control over the storage and funds
O grupo de phishing rendeu mais de US$ 9 milhões em várias cadeias em 2025, persuadindo usuários a autorizar contratos delegados controlados pelos atacantes.
A pesquisa da Wintermute revelou ainda, em junho, que contratos varredores automatizados respondem pela grande maioria das delegações do EIP-7702, criando uma ameaça sistêmica aos usuários do Ethereum.
O market maker desenvolveu CrimeEnjoyor, uma ferramenta que injeta avisos em contratos verificados maliciosos, informando que são “usados por más pessoas para varrer automaticamente todo ETH recebido”.
Vários vetores de ataque emergem de implementação falha da atualização
Além do roubo de tokens WLFI, a exploração do EIP-7702 permitiu métodos de ataque diversos que visam diferentes pontos de vulnerabilidade.
Campanhas de phishing fingem ser plataformas confiáveis DeFi para enganar usuários, levando-os a assinar transações perigosas em lote e autorizações de delegação, resultando no escoamento imediato de fundos após a autorização.
Particularmente, ataques de assinatura off-chain representam outra ameaça significativa, pois permitem que hackers instalem código malicioso em carteiras remotamente por meio de mensagens assinadas, em vez de transações on-chain.
Este método contorna medidas de segurança tradicionais e opera de forma furtiva, exigindo apenas uma assinatura comprometida para conceder controle total da carteira.
Da mesma forma, ataques de flash loan e reentrancy exploram recursos do EIP-7702 para contornar a lógica de segurança on-chain, permitindo ataques de manipulação de preços contra protocolos DeFi.
Ataques recentes a contratos causaram perdas próximas de US$ 1 milhão em projetos DeFi estabelecidos por meio de autorizações delegadas comprometidas.
A raiz técnica reside no mecanismo de delegação do EIP-7702 combinado com operações DELEGATECALL que executam no contexto da carteira da vítima.
Quando chaves privadas são comprometidas por meio de phishing ou outros meios, os atacantes podem configurar contratos delegados maliciosos que roubam automaticamente qualquer valor recebido.
Especialistas em segurança recomendam evitar solicitações de delegação suspeitas, verificar todas as permissões de transação e cancelar contratos delegados comprometidos sempre que possível.
No entanto, o design fundamental que permite que EOAs deleguem execução cria uma superfície de ataque que criminosos continuam a explorar à medida que a técnica amadurece.
Notavelmente, a atualização aumentou os limites de staking de validadores de 32 ETH para 2.048 ETH, ao mesmo tempo em que introduziu recursos de auto-reinvestimento projetados para atrair capital institucional conservador.
Embora a atualização tenha como objetivo melhorar a experiência do usuário e reduzir custos, as compensações de segurança ofuscaram esses benefícios, à medida que os usuários enfrentam ameaças de drenagem de carteiras. As vulnerabilidades de segurança criaram novos vetores de ataque que criminosos rapidamente instrumentalizaram.
O post Trump’s Crypto Project WLFI Under Attack as Ethereum Upgrade Backfires – What Went Wrong? apareceu originalmente no Cryptonews.
