2025-12-25 04:27:02

Les incidents de sécurité sont de retour. Quelqu’un a exploité une vulnérabilité dans un contrat de délégation EIP-7702 non initialisé, obtenant directement les droits du propriétaire du contrat, et a vidé tous les fonds. Cet argent ? 95 ETH, qui ont ensuite été transférés vers Tornado Cash.

Le point clé de cet incident réside ici : l’attaquant a exploité une vulnérabilité d’initialisation présente dans la fonctionnalité relativement nouvelle EIP-7702. En résumé, le contrat n’a pas été correctement initialisé, ce qui rend la vérification des permissions inefficace. Une fois qu’il a obtenu le rôle de propriétaire, le retrait des fonds n’a été qu’une formalité.

Il est important de noter que les fonds ont ensuite été envoyés dans un mélangeur. Cela indique que l’attaquant tente de couper la chaîne de fonds, compliquant ainsi le traçage. Pour les développeurs de contrats, c’est un rappel — la logique d’initialisation, même minime, ne doit pas être négligée, surtout en ce qui concerne la gestion des permissions.

ETH0.66%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

11 J'aime

Récompense
11
4
Reposter
Partager

Commentaire

0/400

SignatureDenied

· 12-25 04:55

Encore une fois, l'initialisation n'a pas été bien faite, qui ne fait pas d'erreur de nos jours EIP-7702 a encore eu des problèmes, les développeurs doivent faire plus attention 95 ETH dans Tornado, impossible de les récupérer Les nouvelles fonctionnalités ont beaucoup de pièges, il faut faire des audits, encore des audits La gestion des permissions ne peut vraiment pas être négligée, le coût est trop élevé

Voir l'originalRépondre0

RektButStillHere

· 12-25 04:50

Encore une fois... ne pas avoir bien initialisé avant de lancer en ligne, ces gens-là sont vraiment en train de pratiquer le codage avec les fonds des utilisateurs --- 95 ETH dans Tornado, c'est tout ? Pour suivre cette affaire, il faut encore compter sur les détectives en chaîne --- EIP-7702 est vraiment une boîte de Pandore, ils n'ont pas bien compris les nouvelles fonctionnalités avant de déployer ? Sérieusement --- La gestion des permissions peut aussi tourner au fiasco, je me demande simplement qui a réalisé l'audit de ce contrat --- Un autre exemple typique de "la logique d'initialisation est insignifiante, il ne faut pas s'en soucier", les frais d'apprentissage sont vraiment élevés --- Service complet de mixage de tokens, ce gars-là a vraiment fait un travail professionnel en amont... --- Les développeurs devraient faire plus attention, il semble que les pièges de l'EIP-7702 soient plus nombreux qu'on ne le pensait

Voir l'originalRépondre0

PretendingToReadDocs

· 12-25 04:46

Encore une vulnérabilité d'initialisation, ces développeurs doivent vraiment faire plus attention --- 95 ETH qui se retrouvent directement dans Tornado, ils filent comme des voleurs --- EIP-7702 vient d'être lancé qu'il est déjà piraté ? C'est vraiment intense --- La gestion des permissions est vraiment un terrain de bataille crucial, on ne peut pas se permettre la moindre négligence --- Le contrat n'était même pas encore chaud qu'il a été exploité pour le profit, c'est vraiment embarrassant --- À chaque fois c'est le même scénario, initialisation → obtention des permissions → fuite avec les fonds --- Une affaire de 95 E aurait suscité un énorme tollé il y a quelques années --- Je disais que les pièges des nouvelles fonctionnalités sont les plus profonds, tu regrettes maintenant, hein ? --- Vraiment, pour éviter ces vulnérabilités, il faut être extrêmement vigilant --- Tornado Cash est encore là, comment le poursuivre cette fois ?

Voir l'originalRépondre0

MoneyBurnerSociety

· 12-25 04:45

Encore une vulnérabilité d'initialisation, ce gars a carrément hérité du skin du propriétaire du contrat --- La nouvelle fonctionnalité EIP-7702 a été rapidement exploitée dès sa sortie, les développeurs de contrats devraient vraiment regarder ça de plus près --- Envoyer 95 ETH à Tornado, et c'est fini, maintenant la difficulté de preuve on-chain monte en flèche --- La vérification des permissions est comme du vent ? Ce n'est que ma stratégie de perte stable en mode inverse --- Ne pas maîtriser la logique d'initialisation, et oser écrire un contrat DeFi, je vous conseille de faire une auto-analyse rapidement --- Une autre histoire de nouvelle fonctionnalité et de nouvelle vulnérabilité, ce bon vieux EIP-7702 est vraiment puissant --- Une fois dans le mixer, on ne peut plus revenir, l'attaquant dépense des frais de transaction qui en valent la peine --- Honnêtement, tout le monde peut faire des erreurs d'initialisation, j'ai déjà perdu deux fois à cause de ça --- Les droits du propriétaire peuvent tous être retirés, ce contrat est vraiment imaginatif

Voir l'originalRépondre0