2025-12-25 04:27:02

Sự cố an ninh lại xảy ra. Có người đã khai thác lỗ hổng trong hợp đồng ủy quyền EIP-7702 chưa được khởi tạo, trực tiếp lấy được quyền chủ sở hữu hợp đồng, toàn bộ số tiền đã bị rút hết. Số tiền này? 95 ETH, sau đó đã được chuyển vào Tornado Cash.

Điểm mấu chốt của vụ việc lần này nằm ở đây: kẻ tấn công đã lợi dụng lỗ hổng khởi tạo tồn tại trong đặc tính mới tương đối của EIP-7702. Nói đơn giản, là hợp đồng chưa được khởi tạo đúng cách, dẫn đến xác thực quyền hạn trở nên vô nghĩa. Một khi đã lấy được vai trò chủ sở hữu, việc rút tiền chỉ trong tích tắc.

Đáng chú ý là số tiền sau đó đã vào trong các dịch vụ trộn tiền. Điều này có nghĩa là kẻ tấn công đang cố gắng cắt đứt chuỗi tiền, làm tăng độ khó trong việc truy vết. Đối với các nhà phát triển hợp đồng, đây lại là một lời nhắc nhở — logic khởi tạo dù nhỏ cũng không thể lơ là, đặc biệt là phần liên quan đến quản lý quyền hạn.

ETH0.49%

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

11 thích

Phần thưởng
11
4
Đăng lại
Retweed

Bình luận

0/400

SignatureDenied

· 13giờ trước

Lại là khởi tạo không tốt, ngày nay ai mà không gặp sự cố chứ EIP-7702 lại gặp vấn đề, các nhà phát triển cần cẩn thận hơn 95 ETH vào Tornado, không thể truy đòi lại nữa Tính năng mới nhiều rủi ro, vẫn phải kiểm toán, kiểm toán và kiểm toán Quản lý quyền hạn thật sự không thể xem nhẹ, hậu quả quá lớn

Xem bản gốcTrả lời0

RektButStillHere

· 13giờ trước

Lại nữa rồi...khởi tạo chưa làm tốt đã đưa lên trực tiếp, đám người này thật sự đang luyện tập mã hóa trên quỹ người dùng đấy --- 95 ETH vào Tornado rồi xong? Việc theo dõi chuyện này còn phải dựa vào các thám tử trên chuỗi nữa --- EIP-7702 thật sự là hộp Pandora, tính năng mới chưa hiểu rõ đã dám deploy? Thật --- Quản lý quyền mà còn có thể gây ra lỗi, tôi chỉ muốn biết ai đã thực hiện audit hợp đồng này --- Lại một ví dụ điển hình về "logic khởi tạo rất nhỏ không cần quan tâm", học phí đắt thế này thật sự --- Dịch vụ trộn tiền trọn gói, thằng này làm công việc ban đầu khá chuyên nghiệp... --- Các nhà phát triển nên cẩn thận hơn, có vẻ như các lỗ hổng của EIP-7702 còn nhiều hơn dự kiến

Xem bản gốcTrả lời0

PretendingToReadDocs

· 13giờ trước

Lại là lỗ hổng khởi tạo, đám nhà phát triển này thật sự cần phải cẩn thận hơn --- 95 ETH một cái là đã vào Tornado rồi, trốn nhanh thật --- EIP-7702 mới ra mắt đã bị phá vỡ? Thật là kích thích quá --- Quản lý quyền là chiến trường then chốt, không thể sơ sẩy --- Hợp đồng còn chưa ấm lên đã bị người khác khai thác, thật là xấu hổ --- Mỗi lần đều là kịch bản này, khởi tạo→ lấy quyền→ bỏ chạy kiếm tiền --- Việc 95 ETH này nếu để trước kia chắc chắn sẽ gây ra tranh luận lớn --- Tôi đã nói rồi, những tính năng mới có nhiều rủi ro nhất, giờ hối hận rồi chứ gì --- Thật đó, những lỗ hổng này cần phải cẩn thận đến mức nào mới phòng tránh được --- Tornado Cash lại xuất hiện rồi, lần này làm sao truy đuổi

Xem bản gốcTrả lời0

MoneyBurnerSociety

· 13giờ trước

Lại là lỗ hổng khởi tạo, thằng bạn này đã kế thừa luôn giao diện của chủ sở hữu hợp đồng rồi --- Tính năng mới của EIP-7702 vừa ra đã bị phá vỡ, nhà phát triển hợp đồng thật sự nên xem xét chuyện này --- 95 ETH gửi vào Tornado là xong, giờ thì khó lấy chứng cứ trên chuỗi cực kỳ cao --- Xác thực quyền hạn như không tồn tại? Chính là chiến lược thua lỗ ổn định của tôi ngược lại mà --- Logic khởi tạo mà còn làm không tốt, dám viết hợp đồng DeFi, tôi khuyên các bạn nên tự kiểm tra ngay --- Lại một câu chuyện về tính năng mới và lỗ hổng mới, anh em EIP-7702 này hơi mạnh đấy --- Hợp đồng trộn tiền vào là không thể quay lại nữa, kẻ tấn công tiêu phí này xứng đáng --- Thành thật mà nói, chuyện khởi tạo ai cũng dễ mắc lỗi, tôi đã mất hai lần vì chuyện này rồi --- Quyền của chủ sở hữu đều có thể bị đoạt, hợp đồng này viết thật là có trí tưởng tượng đấy

Xem bản gốcTrả lời0