2025-12-25 04:27:02

Segurança em risco novamente. Alguém explorou uma vulnerabilidade através de um contrato de delegação EIP-7702 não inicializado, obtendo diretamente privilégios de proprietário do contrato e levando todo o fundo. Esse dinheiro? 95 ETH, que posteriormente foi transferido para o Tornado Cash.

O ponto-chave deste incidente está aqui: o atacante aproveitou uma vulnerabilidade de inicialização presente na característica relativamente nova do EIP-7702. Simplificando, o contrato não foi corretamente inicializado, resultando em uma validação de privilégios ineficaz. Uma vez obtido o papel de proprietário, retirar fundos tornou-se uma tarefa trivial.

É importante notar que os fundos foram posteriormente enviados para um mixer. Isso indica que o atacante tentou interromper a cadeia de fundos, dificultando o rastreamento. Para os desenvolvedores de contratos, este é um lembrete — a lógica de inicialização, por menor que seja, não pode ser negligenciada, especialmente na parte de gerenciamento de privilégios.

ETH2,2%

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

19 Curtidas

Recompensa
19
7
Repostar
Compartilhar

Comentário

0/400

just_another_wallet

· 23h atrás

95 ETH desapareceu, e a inicialização pode ser revertida, que preocupação --- É o Tornado Cash outra vez, estes tipos são muito bons a tocar e conhecem bem o processo de branqueamento de capitais --- O EIP-7702 ainda não foi desenvolvido, e algumas pessoas começaram a encontrar falhas, e a nova funcionalidade é realmente uma área de alto risco --- Não pode haver uma mentalidade de sorte na gestão de autoridades, e pequenos detalhes podem arruinar toda a situação --- Pede a permissão do proprietário diretamente? Isto não é em vão, será assim tão difícil fazer check-in uma vez? --- O batedeiro de moedas percebe a intenção assim que vira, evitando o rastreio, rotinas antigas --- Está na altura de acrescentar dinheiro às auditorias contratuais, demasiadas brechas são o pote da inicialização --- 95 ETH flasheado, e os programadores têm de aprender a lição --- Se a lógica de inicialização não for cuidadosa, terá de ser feita assim --- A Tornado Cash está novamente ativa, e o combate ao branqueamento de capitais em blockchain ainda tem um longo caminho a percorrer

Ver originalResponder0

RektButSmiling

· 12-28 00:31

Mais uma vulnerabilidade de inicialização? Essa equipe de desenvolvimento realmente precisa prestar mais atenção EIP-7702 ainda tão novo e já foi comprometido, que rir 95 ETH no Tornado desaparecidos, isso é o cotidiano do Web3 Permissões de contrato realmente não podem ser negligenciadas, uma negligência e tudo é zerado Tornado Cash está lavando dinheiro novamente, sempre a mesma história Sempre que vejo esse tipo de incidente, acho que os testes antes do lançamento de novos recursos deveriam ser mais rigorosos A validação de permissões é praticamente inútil, como passou pela aprovação 95 ETH simplesmente desaparecidos, não sei qual será o sentimento do projeto agora Por trás de cada vulnerabilidade, sempre há um desenvolvedor dizendo "vou revisar mais uma vez antes de lançar"

Ver originalResponder0

NervousFingers

· 12-27 23:05

Mais uma vulnerabilidade de inicialização... Quando é que esses desenvolvedores vão aprender de uma vez por todas --- 95 ETH foram assim enviados para o Tornado, a dificuldade de rastreamento dispara --- EIP-7702 acabou de sair e já foi desmentido, será que essas novidades sempre são assim? --- A validação de permissões é uma mera formalidade, ainda assim se arriscam a lançar? Quanta confiança é preciso --- Sempre que uso um mixer, percebo que esse cara veio preparado, é uma operação profissional --- Mais uma vez, problemas de inicialização... A auditoria de contratos realmente não vale nada --- 95 ETH simplesmente desapareceram, de qual projeto será essa má sorte? --- Antes mesmo do EIP-7702 pegar fogo, já começaram as falhas de segurança, não dá para aguentar --- Cortar a cadeia de financiamento e usar mixers... Agora os hackers também estão ficando mais cuidadosos --- Sempre dizem que aprenderam a lição, mas na próxima continuam na mesma armadilha, já estou cansado

Ver originalResponder0

SignatureDenied

· 12-25 04:55

Mais uma vez, a inicialização não foi feita corretamente, quem não tem problemas nesta era? O EIP-7702 voltou a dar problema, os desenvolvedores precisam ficar mais atentos. 95 ETH enviados para o Tornado, não há como recuperá-los. Novas funcionalidades têm muitas armadilhas, é preciso auditar, auditar e auditar novamente. A gestão de permissões não pode ser negligenciada, o custo de um erro é muito alto.

Ver originalResponder0

RektButStillHere

· 12-25 04:50

Já voltou... lançar sem uma inicialização bem feita, esses caras realmente estão treinando codificação com o dinheiro dos usuários --- 95 ETH no Tornado e pronto? Para rastrear isso, ainda dependemos dos detetives on-chain --- EIP-7702 é realmente uma caixa de Pandora, novas funcionalidades sem entender bem, e ainda assim ousam fazer deploy? Isso --- A gestão de permissões também pode dar problema, só quero saber quem fez a auditoria desse contrato --- Mais um exemplo clássico de "lógica de inicialização muito pequena para se preocupar", o custo de aprender assim é realmente --- Serviço completo de mistura de moedas, esse cara fez um trabalho bem profissional na fase inicial... --- Os desenvolvedores precisam ficar atentos, os problemas do EIP-7702 parecem ser maiores do que se imagina

Ver originalResponder0

PretendingToReadDocs

· 12-25 04:46

Mais uma vulnerabilidade de inicialização, esses desenvolvedores realmente precisam ficar mais atentos --- 95 ETH foram transferidos e entraram direto no Tornado, escaparam rapidinho --- EIP-7702 foi lançado e já foi descoberto um exploit? Isso é realmente emocionante --- A gestão de permissões é realmente um campo de batalha, não se pode negligenciar --- O contrato ainda nem aqueceu e já foi explorado, é realmente constrangedor --- Sempre é a mesma história, inicializar → obter permissões → fugir com os fundos --- Se esses 95 ETH tivessem acontecido antes, teria causado uma enorme repercussão --- Eu já disse que as armadilhas das novas funcionalidades são as mais profundas, agora se arrepende, né? --- Sério mesmo, esses bugs precisam ser detectados com muita atenção --- Tornado Cash voltou a aparecer, como será que podemos rastrear agora

Ver originalResponder0

MoneyBurnerSociety

· 12-25 04:45

Mais uma vulnerabilidade de inicialização, esse cara herdou a pele do proprietário do contrato direto --- A nova funcionalidade do EIP-7702 foi rapidamente explorada assim que foi lançada, os desenvolvedores de contratos realmente deveriam ficar atentos a isso --- 95 ETH enviados para Tornado, e pronto, difícil de provar na blockchain agora --- A validação de permissões é praticamente inútil? Não é exatamente minha estratégia de perdas estáveis operando ao contrário? --- Se nem consegue fazer a lógica de inicialização direito, ainda assim se atreve a escrever contratos DeFi, recomendo que todos façam uma autoavaliação --- Mais uma história de nova funcionalidade e nova vulnerabilidade, o EIP-7702 é realmente impressionante --- Assim que entra no mixer, não consegue mais voltar, o atacante gastou bem na taxa de transação --- Para ser honesto, qualquer um pode cometer erros na inicialização, já perdi duas vezes por causa disso --- Os direitos do proprietário podem ser completamente revogados, esse contrato foi realmente criado com muita imaginação

Ver originalResponder0