Zgodnie z PANews, incydent bezpieczeństwa związany z kradzieżą tokenów WLFI od prywatnego inwestora został ujawniony przez Cosine z SlowMist na platformie X. Kradzież miała miejsce z powodu wycieku klucza prywatnego, co doprowadziło do wykorzystania mechanizmu phishingowego EIP-7702. Mechanizm ten został strategicznie ustanowiony przez grupy phishingowe, potencjalnie więcej niż jedną, pod adresem portfela odpowiadającym wyciekłemu kluczowi prywatnemu.
Mechanizm EIP-7702 automatycznie przenosi wszelkie opłaty za gaz przeznaczone na przenoszenie pozostałych tokenów, takich jak te zablokowane w umowach Lockbox, do napastników. Napastnicy zastosowali strategię polegającą na wstrzykiwaniu gazu, anulowaniu lub zastępowaniu wbudowanego mechanizmu EIP-7702 swoim własnym oraz przenoszeniu cennych tokenów. Działania te zostały zrealizowane przy użyciu flashbotów, co pozwoliło im na grupowanie i wysyłanie w ramach jednego bloku.
