Des détenteurs du token de gouvernance de World Liberty Financial (WLFI) subissent actuellement un vol massif de leurs jetons, attribué à un exploit de phishing lié à la mise à jour EIP‑7702 d’Ethereum. Selon Yu Xian, fondateur de SlowMist, les hackers exploitent cette fonctionnalité pour insérer un contrat délégataire malveillant dans les portefeuilles victimes et siphonner les jetons dès qu’une transaction est initiée.
Un mécanisme de phishing sophistiqué exploite la mise à jour EIP‑7702
La mise à jour EIP‑7702, déployée en mai avec la version « Pectra » d’Ethereum, permet à un compte externe de se comporter temporairement comme un portefeuille intelligent, déléguant ainsi des droits d’exécution et facilitant les transactions groupées. Les attaquants profitent de cette capacité pour pré‑installer un contrat délégataire contrôlé par eux dans le portefeuille de la victime. Lorsqu’une opération de dépôt ou de transfert est effectuée, le contrat intercepte automatiquement le gaz fourni et transfère les jetons vers l’adresse du hacker.
Yu Xian a indiqué sur X (anciennement Twitter) que le prérequis de cet exploit est la fuite de la clé privée du portefeuille. « Nous avons observé plusieurs adresses dont tous les WLFI ont été volés. La méthode est identique : exploitation du contrat délégataire 7702 après compromission de la clé privée », a‑t‑il expliqué.
Le token WLFI, soutenu par Donald Trump, a été lancé lundi matin avec une offre totale de 24,66 milliards de jetons. Dès les phases pré‑lancement, des utilisateurs ont signalé des pertes. Le 31 août, un compte X a rapporté que les jetons WLFI d’un ami avaient été drainés après un simple transfert d’Ether (ETH) vers son portefeuille.
Dans une réponse, Yu Xian a qualifié cet incident de « phishing classique EIP‑7702 », soulignant que la clé privée est généralement volée par des attaques de phishing avant que le contrat malveillant ne soit implanté.
« Dès que vous essayez de transférer les jetons restants, le gaz que vous fournissez est automatiquement détourné », a‑t‑il ajouté, conseillant aux victimes d’« annuler ou remplacer le contrat EIP‑7702 compromis par le leur » et de transférer les fonds depuis le portefeuille affecté dès que possible.
Des discussions ont rapidement émergé sur les forums dédiés à WLFI. Un utilisateur sous le pseudonyme « hakanemiratlas » a déclaré que son portefeuille avait été piraté en octobre et qu’il ne pouvait récupérer que 20 % de ses WLFI, les 80 % restants restant bloqués dans le portefeuille compromis. Il a exprimé son inquiétude quant à la possibilité que le hacker récupère les jetons dès qu’ils seront débloqués.
Un autre contributeur, « Anton », a pointé du doigt la façon dont le whitelist a été implémenté : le même portefeuille utilisé pour être ajouté à la liste blanche devait également servir à participer à la pré‑vente, ce qui a créé une vulnérabilité majeure. Il a demandé à l’équipe WLFI d’envisager une option de transfert direct pour sécuriser les jetons.
En parallèle, de nombreuses arnaques liées au lancement de WLFI ont été détectées. Le cabinet d’analyse BubbleMaps a identifié plusieurs « clones groupés » de contrats intelligents imitant le projet, destinés à tromper les investisseurs.
<p>L’équipe WLFI a rappelé que ses canaux de support officiels se limitent aux adresses e‑mail vérifiées et qu’elle ne contacte jamais les utilisateurs via des messages directs sur les réseaux sociaux. « Tout DM prétendant provenir de nous est frauduleux et doit être ignoré. Avant de répondre à un e‑mail, vérifiez toujours qu’il provient d’un domaine officiel », a‑t‑elle précisé.
