Dự án DeFi WLFI cho biết đã sử dụng cơ chế danh sách đen onchain để ngăn chặn thành công các nỗ lực tấn công nhắm vào người dùng bị xâm phạm.
Dự án tài chính phi tập trung (DeFi) World Liberty Financial (WLFI) cho biết đã ngăn chặn thành công nhiều nỗ lực tấn công trong sự kiện ra mắt token nhờ áp dụng cơ chế bảo mật chủ động: đưa trực tiếp các ví bị xâm phạm vào danh sách đen trên chuỗi.
Trong thông báo ngày 3/9, nhóm phát triển khẳng định các cuộc tấn công không bắt nguồn từ lỗ hổng hợp đồng thông minh, mà xuất phát từ việc người dùng bị rò rỉ khóa riêng tư. Theo WLFI, một ví được chỉ định đã thực hiện các giao dịch “mass blacklisting” nhằm vô hiệu hóa các tài khoản bị xâm phạm ngay trước thời điểm ra mắt chính thức, qua đó bảo vệ thành công Lockbox — cơ chế vesting được thiết kế để đảm bảo an toàn cho các phân bổ token bị khóa.
Dự án đồng thời phối hợp với những người dùng bị ảnh hưởng để hỗ trợ khôi phục quyền truy cập tài sản, thể hiện cách tiếp cận cân bằng giữa yếu tố bảo mật tập trung và tính phi tập trung trong hỗ trợ cộng đồng.
Sự kiện ra mắt WLFI mở khóa 24,6 tỷ token, trở thành mục tiêu hấp dẫn cho các tác nhân xấu. Bên cạnh các vụ tấn công trực tiếp, công ty phân tích Bubblemaps còn phát hiện nhiều chiêu trò lừa đảo tinh vi, trong đó nổi bật là “bundled clones” — các hợp đồng thông minh giả mạo mô phỏng dự án thật để đánh cắp tài sản.
Yu Xian, nhà sáng lập công ty bảo mật SlowMist, cũng cảnh báo một số người dùng đã bị rút sạch token do dính phải các cuộc tấn công phishing khai thác Ethereum Improvement Proposal (EIP)-7702. Đây là bản nâng cấp thuộc lộ trình Pectra của Ethereum, cho phép ví thông thường (EOA) tạm thời hoạt động như ví hợp đồng thông minh nhằm cải thiện trải nghiệm người dùng. Tuy nhiên, tính năng này cũng tạo ra vector tấn công mới.
Theo chuyên gia kiểm toán hợp đồng thông minh Arda Usman, kẻ tấn công có thể lừa nạn nhân ký một thông điệp offchain tưởng chừng vô hại, sau đó tận dụng chữ ký đó để kích hoạt giao dịch onchain, qua đó chiếm đoạt tài sản trong ví.
