了解誘餌陷阱：WLFI 代幣持有者如何成為高級釣魚攻擊的目標

World Liberty Financial (WLFI) 的爆炸性推出為加密貨幣詐騙創造了一個完美的風暴。隨著主要交易所的交易量激增，安全研究機構 SlowMist 發現了專門針對 WLFI 持有者的協調釣魚攻擊行動。這些攻擊利用了 Ethereum 最近 Pectra 升級中嵌入的一個強大且危險的新功能。

促成現代加密攻擊的技術力量

Ethereum 的最新更新引入了 EIP-7702，一個委託功能，從根本上改變了錢包帳戶的運作方式。此功能允許普通用戶錢包執行具有智能合約般能力的複雜交易。雖然這項創新提升了用戶體驗和交易效率，但同時也為惡意行為者打開了一個新的攻擊面。

根據 SlowMist 創始人俞賢的說法，委託機制的運作方式是允許外部帳戶暫時採用智能合約行為。當用戶安全受到威脅時，威脅行為者利用此能力將惡意委託合約注入受損的錢包。一旦安裝，嵌入的惡意代碼在受害者啟動任何交易時自動執行——使錢包成為盲目竊取的工具。

委託合約詐騙的運作方式

攻擊流程分為三個階段。首先，網路犯罪分子利用釣魚技術獲取受害者的私鑰。第二，他們編寫一個惡意的委託智能合約，旨在攔截並重定向外發交易。第三，一旦啟動，惡意代碼就會自主運行，自動捕獲新收到的代幣或重定向錢包資產。

這種方法較傳統釣魚有了顯著的進步。攻擊者不再需要手動操作來清空每個帳戶，而是透過委託合約的方式進行大規模操作。他們可以設定惡意代碼在空投期間自動捕獲代幣、執行批量轉帳，或攔截特定交易——全部不需要持續的人為監控。

釣魚陷阱與多層詐騙

儘管委託攻擊造成了重大損失，WLFI 持有者還面臨來自誘餌池（honeypot）機制的額外威脅。誘餌池加密資產是一種詐騙代幣，表面看似合法，實則用來陷阱投資者。在針對 WLFI 買家的案例中，詐騙者執行了一個複雜的三步操作：

首先，攻擊者識別成功購買正品 WLFI 代幣的用戶。接著，他們通過空投部署假冒的 WLFI 代幣，模仿合法的代幣分發。最後，當用戶試圖在像 Phantom Swap 這樣的去中心化交易所出售這些可疑代幣時，誘餌池合約阻止他們出售，同時竊取他們的錢包資金。一名受害者在一次誘餌池事件中損失了 $4,876——這是社交工程與技術操控層層結合的鮮明提醒。

對代幣持有者的真正威脅

這些攻擊與早期詐騙活動的區別在於其系統性。WLFI 的高交易量和市場關注度創造了理想的群體攻擊條件。委託合約自動化和誘餌池代幣結構的結合，使攻擊者能夠同時攻破多個帳戶，同時保持可否認性和操作效率。

安全專家強調，Ethereum 生態系統的技術進步——雖然對合法用戶有利——也為攻擊者提供了更為高級的工具。WLFI 的 24 小時交易量已達到 $3.48M，顯示這些代幣的流通規模，也反映出潛在損失的嚴重程度。

在新威脅環境中保護自己

鑑於這些不斷演變的風險，WLFI 持有者應採取多重防護措施：啟用多重簽名驗證敏感交易、避免點擊來路不明的連結、通過官方渠道直接驗證代幣合約地址，以及對突如其來的空投保持警惕，無論其看似多麼合法。了解誘餌池加密方案的運作方式，有助於在財務損失發生前識別並避免它們。