【比推】刚刚曝出一起合约安全事件。某攻撃者は未初期化のEIP-7702委任契約の脆弱性を利用し、成功裏に契約所有者権限を取得、その後直接委任者アドレスから全資金を引き出した。オンチェーンの監視データによると、この攻撃者はすでに95枚のETH(約28万ドル相当)をTornado Cashに送金し、ミキシング処理を行っている。今回の事件の鍵は、EIP-7702の委任契約に初期化の欠陥が存在したことにある——この契約が展開時に正しく初期化されていなかったため、攻撃者は非常に低コストで所有者の権限を奪取できた。所有者権限を掌握すれば、資金の引き出しは非常に簡単になる。資金がTornado Cashに送金された後、追跡の難易度は大幅に増加する。これにより、開発者は委任モードの契約を展開する際に、初期化プロセスを完全に行うことを確実にし、攻撃者に付け入る隙を与えないよう注意喚起される。一般ユーザーにとっては、新しい契約とやり取りを行う前に、その契約が安全監査を受けているかどうかを十分に確認する必要がある。
EIP-7702の脆弱性が悪用され、攻撃者が95 ETHを盗み出し、ミキサーに送金しました
【比推】刚刚曝出一起合约安全事件。某攻撃者は未初期化のEIP-7702委任契約の脆弱性を利用し、成功裏に契約所有者権限を取得、その後直接委任者アドレスから全資金を引き出した。オンチェーンの監視データによると、この攻撃者はすでに95枚のETH(約28万ドル相当)をTornado Cashに送金し、ミキシング処理を行っている。
今回の事件の鍵は、EIP-7702の委任契約に初期化の欠陥が存在したことにある——この契約が展開時に正しく初期化されていなかったため、攻撃者は非常に低コストで所有者の権限を奪取できた。所有者権限を掌握すれば、資金の引き出しは非常に簡単になる。資金がTornado Cashに送金された後、追跡の難易度は大幅に増加する。
これにより、開発者は委任モードの契約を展開する際に、初期化プロセスを完全に行うことを確実にし、攻撃者に付け入る隙を与えないよう注意喚起される。一般ユーザーにとっては、新しい契約とやり取りを行う前に、その契約が安全監査を受けているかどうかを十分に確認する必要がある。