За даними SlowMist, атакувач використав вразливий EIP-7702 обліковий запис, щоб викрасти 1 988,5 QNT із резервного пулу QNT (приблизно 54,93 ETH). Основна причина полягає в тому, що адміністратор EOA резервного пулу за допомогою EIP-7702 делегував код контракту BatchExecutor, який встановив контракт BatchCall як авторизованого викликача без обмежень доступу. Оскільки функція BatchCall.batch() не містить жодної перевірки прав доступу, її може викликати будь-хто ззовні, що призвело до вичерпання активів резервного пулу.
SlowMist: Використано вразливість акаунту EIP-7702, вкрадено 1 988,5 QNT
TechFlowПоділитися
Короткий зміст
SlowMist повідомив, що вразливість у EIP-7702 дозволила злоумисникам вкрасти 1 988,5 QNT (приблизно 54,93 ETH) з резервного пулу. Проблема виникла через смартконтракт BatchExecutor, який дозволяв будь-якому викликачеві використовувати функцію BatchCall без перевірки дозволів. З посиленням регулювання CFT такі експлуатації підкреслюють ризики у дизайні смартконтрактів. BTC залишається хеджем проти інфляції, але цей інцидент показує необхідність посилення заходів безпеки у DeFi-протоколах.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.