2025-12-25 04:27:02

安全事件又来了。有人通过未初始化的EIP-7702委托合约打了个漏洞，直接拿到了合约所有者权限，一股脑儿提走了全部资金。这笔钱？95枚ETH，随后被转入了Tornado Cash。

这次事件的关键点在这儿：攻击者利用的是EIP-7702这个相对较新的特性中存在的初始化漏洞。简单说，就是合约没有被正确初始化，导致权限验证形同虚设。一旦拿到所有者角色，提取资金就成了分分钟的事儿。

值得注意的是，资金随后进入了混币器。这意味着攻击者在试图切断资金链条，增加追踪难度。对于合约开发者来说，这又是个提醒——初始化逻辑再小也不能放松，特别是涉及权限管理的部分。

ETH0.59%

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

11 Лайков

Награда
11
4
Репост
Поделиться

комментарий

0/400

SignatureDenied

· 13ч назад

Опять инициализация выполнена неправильно, в наши дни кто не сталкивается с проблемами Снова возникли проблемы с EIP-7702, разработчикам нужно быть более внимательными 95 ETH отправлено в Tornado, вернуть их уже невозможно Новые функции полны ловушек, нужно проводить аудит и еще раз аудит Управление правами действительно нельзя недооценивать, цена слишком высока

Посмотреть ОригиналОтветить0

RektButStillHere

· 13ч назад

Опять началось... запуск без должной инициализации, эти ребята действительно тренируют кодирование на пользовательских средствах --- 95 ETH в Tornado — и дело сделано? За этим нужно следить с помощью блокчейн-детективов --- EIP-7702 действительно как ящик Пандоры, новые функции не до конца поняты, а уже деплоят? Вот --- Управление правами тоже может привести к сбоям, мне интересно, кто проводил аудит этого контракта --- Еще один типичный пример "логика инициализации очень мала, можно не обращать внимания", такие уроки стоят дорого --- Комплексное обслуживание по смешиванию средств, этот парень вначале очень профессионально подготовился... --- Разработчикам стоит быть внимательнее, кажется, что ловушки EIP-7702 оказались больше, чем ожидалось

Посмотреть ОригиналОтветить0

PretendingToReadDocs

· 13ч назад

Опять уязвимость при инициализации, этим разработчикам действительно нужно быть более внимательными --- 95 ETH сразу ушли в Tornado, ускользнув очень быстро --- EIP-7702 только что был запущен и уже взломан? Это действительно захватывающе --- Управление правами действительно является ключевой областью борьбы, нельзя недооценивать --- Контракт еще не разогрелся, а уже его обчистили, это действительно неловко --- Каждый раз один и тот же сценарий: инициализация → получение прав → побег с деньгами --- Если бы такие случаи с 95 ETH произошли раньше, какая бы волна общественного обсуждения поднялась --- Я говорю, что ловушки новых функций самые глубокие, теперь жалею, да --- Действительно, чтобы предотвратить эти уязвимости, нужно быть очень внимательным --- Опять появился Tornado Cash, как теперь его преследовать

Посмотреть ОригиналОтветить0

MoneyBurnerSociety

· 13ч назад

Опять уязвимость при инициализации, этот парень прямо унаследовал все скины владельца контракта --- Новые функции EIP-7702 были взломаны сразу после появления, разработчикам контрактов действительно стоит обратить на это внимание --- 95 ETH в Tornado, и дело сделано, теперь сложность доказательства в сети просто зашкаливает --- Проверка прав доступа — фикция? Разве это не моя стратегия стабильных убытков, которая работает в обратную сторону? --- Если не можешь правильно реализовать логику инициализации, как ты собираешься писать DeFi-контракты? Советую всем провести самопроверку --- Еще одна история о новых функциях и уязвимостях, братец EIP-7702 немного жесткий --- Миксер при входе — и больше не вернешься, злоумышленник тратит на это свои комиссионные с выгодой --- Честно говоря, кто бы ни делал инициализацию, легко попасть в ловушку, я сам дважды терял на этом --- Все права владельца могут быть отняты, этот контракт действительно обладает богатым воображением

Посмотреть ОригиналОтветить0