La vulnérabilité EIP-7702 a été exploitée, l'attaquant a siphonné 95 ETH vers un mélangeur

SignatureVerifier · 2025-12-25T03:46:11+00:00

Récemment, un incident de sécurité de contrat a eu lieu. L'attaquant a exploité une faille d'initialisation du contrat de délégation EIP-7702 pour s'emparer des droits du propriétaire, extraire tous les fonds et les transférer vers Tornado Cash. Cet incident rappelle aux développeurs de s'assurer que l'initialisation du contrat est complète et invite les utilisateurs à vérifier l'audit de sécurité avant toute interaction.

SignatureVerifier

2025-12-25 03:46:11

Création du résumé en cours

【比推】刚刚曝出一起合约安全事件。某攻击者利用一个未初始化的EIP-7702委托合约漏洞，成功取得了合约所有者权限，随后直接从委托人地址抽走全部资金。根据链上监测数据显示，这位攻击者已经将95枚ETH（约合28万美元）转入了Tornado Cash进行混币处理。

Cette incident met en lumière le fait que le contrat délégué EIP-7702 présente une faille d’initialisation — c’est précisément parce que ce contrat n’a pas été correctement initialisé lors du déploiement que l’attaquant a pu prendre le contrôle du rôle de propriétaire à un coût très faible. Une fois qu’il a obtenu les droits de propriétaire, le retrait des fonds devient une opération très simple. Après le transfert des fonds vers Tornado Cash, la traçabilité devient beaucoup plus difficile.

Cela rappelle aux développeurs qu’il est essentiel de s’assurer que le processus d’initialisation est complet lors du déploiement de contrats en mode délégué, afin de ne pas laisser de porte ouverte aux attaques. Pour les utilisateurs ordinaires, il est conseillé de vérifier si ces contrats ont été soumis à un audit de sécurité avant d’interagir avec eux.

ETH-0,8%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

13 J'aime

Récompense
13
5
Reposter
Partager

Commentaire

Ajouter un commentaire

RugPullAlarm

· 2025-12-28 01:38

Encore une fois, c'est la faute d'un contrat non initialisé. Ce genre d'erreur élémentaire apparaît encore en 2024, c'est vraiment incroyable. 95 ETH envoyés à Tornado, et on peut considérer qu'ils ont disparu, les données on-chain montrent que le flux de fonds s'est complètement interrompu, c'est ça le plus frustrant. Les développeurs devraient vraiment réfléchir : s'ils ne comprennent même pas l'initialisation, comment peuvent-ils mettre leur projet en ligne ?

Voir l'originalRépondre0

Web3ExplorerLin

· 2025-12-25 04:15

hypothèse : le modèle d'état non initialisé ici reflète en gros les anciennes portes de la ville laissées sans garde... sauf que les conséquences sont mesurées en eth plutôt qu'en or. exécution brillante de la part de l'attaquant, franchement—il a trouvé le seul fil que personne n'avait tiré avant le déploiement et a simplement... tiré dessus. le nettoyage de tornado cash est *le coup de maître* du théâtre de la sécurité opérationnelle à son meilleur

Voir l'originalRépondre0

PhantomMiner

· 2025-12-25 04:09

C'est encore une initialisation mal faite ? Les développeurs doivent tirer des leçons cette fois...

Voir l'originalRépondre0

RooftopReserver

· 2025-12-25 03:55

Encore une initialisation mal faite, cette équipe de développeurs devrait vraiment faire attention, 95 ETH partis en fumée, et une fois dans le Tornado, il est encore plus difficile de les récupérer.

Voir l'originalRépondre0

ChainComedian

· 2025-12-25 03:48

Encore une fois, l'initialisation n'a pas été bien faite, cette équipe de développeurs est vraiment... 95 ETH ont disparu comme ça, et avec Tornado, c'est encore plus difficile à suivre. Je l'avais déjà dit, le mode de délégation doit être utilisé avec précaution, mais il y a encore des gens qui ont eu des problèmes.

Voir l'originalRépondre0