2025-12-25 04:27:02

عاد الحدث الأمني مرة أخرى. استغل شخص ما ثغرة في عقد تفويض EIP-7702 غير المُهيأ بشكل صحيح، وحصل مباشرة على صلاحيات مالك العقد، وسحب جميع الأموال دفعة واحدة. هذه الأموال؟ 95 عملة ETH، ثم تم تحويلها إلى Tornado Cash.

النقطة الرئيسية في هذا الحدث تكمن هنا: استغل المهاجم ثغرة التهيئة الموجودة في خاصية EIP-7702 الجديدة نسبياً. ببساطة، لم يتم تهيئة العقد بشكل صحيح، مما أدى إلى أن التحقق من الصلاحيات أصبح بلا فائدة. بمجرد أن يحصل على دور المالك، يصبح سحب الأموال أمراً سهلاً للغاية.

ومن الجدير بالذكر أن الأموال بعد ذلك دخلت إلى جهاز الخلط. هذا يعني أن المهاجم يحاول قطع سلسلة التمويل، وزيادة صعوبة تتبعها. بالنسبة لمطوري العقود، فإن هذا تذكير — لا يمكن التهاون في منطق التهيئة، خاصة فيما يتعلق بإدارة الصلاحيات.

ETH-0.7%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 11

أعجبني
11
4
إعادة النشر
مشاركة

تعليق

0/400

SignatureDenied

· منذ 17 س

مرة أخرى لم يتم الإعداد بشكل جيد، في هذا الزمن من لا يتعرض للفشل حدثت مشكلة أخرى مع EIP-7702، على المطورين أن يكونوا أكثر حذرًا 95 إيثريوم دخلت إلى Tornado، لن تتمكن من استعادتها الميزات الجديدة مليئة بالمخاطر، لا بد من التدقيق والتدقيق مرة أخرى إدارة الصلاحيات لا يمكن التهاون فيها، فالثمن كبير جدًا

شاهد النسخة الأصليةرد0

RektButStillHere

· منذ 18 س

عاد من جديد... لم يتم إعداد التهيئة بشكل جيد قبل الإطلاق المباشر، هؤلاء الأشخاص حقًا يتدربون على برمجة أموال المستخدمين --- 95 من ETH إلى Tornado ثم انتهى الأمر؟ تتبع هذه القضية لا يعتمد إلا على محققي السلسلة --- EIP-7702 حقًا صندوق باندورا، لم يستوعب الميزات الجديدة بعد أن يجرؤ على النشر؟ يجب --- إدارة الأذونات يمكن أن تتسبب في فشل، أريد فقط أن أعرف من قام بتدقيق هذا العقد --- مثال نموذجي على "منطق التهيئة صغير ولا داعي للقلق"، هل حقًا التعليم بهذه التكلفة العالية --- خدمة دمج العملات بشكل شامل، هذا الشخص محترف جدًا في العمل التحضيري... --- على المطورين أن يكونوا أكثر حذرًا، يبدو أن فخاخ EIP-7702 أكثر مما كان متوقعًا

شاهد النسخة الأصليةرد0

PretendingToReadDocs

· منذ 18 س

مرة أخرى ثغرة التهيئة، حقًا يجب على المطورين أن يكونوا أكثر حذرًا --- 95 إيثريومًا تم تحويلها مباشرة إلى Tornado بسرعة كبيرة --- تم اكتشاف ثغرة في EIP-7702 بعد إطلاقه مباشرة؟ هذا مثير جدًا --- إدارة الأذونات حقًا منطقة حاسمة لا يمكن التهاون فيها --- لم يمر وقت طويل على العقود حتى تم استغلالها، الأمر محرج حقًا --- دائمًا نفس النمط، التهيئة → الحصول على الأذونات → الهروب وجمع العملات --- لو كانت هذه القضية تتعلق بـ95 إيثريوم في السابق، لكانت أثارت ضجة كبيرة --- قلت لكم أن مخاطر الميزات الجديدة أعمق، هل تندم الآن؟ --- حقًا، كم يجب أن نكون حذرين لنمنع هذه الثغرات؟ --- ظهر Tornado Cash مرة أخرى، كيف يمكننا تتبعها هذه المرة

شاهد النسخة الأصليةرد0

MoneyBurnerSociety

· منذ 18 س

مرة أخرى ثغرة التهيئة، هذا الشخص ورث مظهر مالك العقد مباشرة --- تم اكتشاف ميزة جديدة في EIP-7702 فور إصدارها، مطورو العقود يجب أن يطلعوا على هذا الأمر --- 95 ETH إلى Tornado وسيتم الأمر، الآن صعوبة إثبات الملكية على السلسلة تصل إلى الحد الأقصى --- التحقق من الصلاحيات غير فعال؟ أليس هذا عكس استراتيجيتي لتحقيق خسائر مستقرة --- حتى منطق التهيئة غير مضبوط، ومع ذلك يجرؤ على كتابة عقود DeFi، أنصح الجميع بالتحقق الذاتي بسرعة --- قصة ميزة جديدة وثغرة جديدة، أخي EIP-7702 قوي جدًا --- عند دخولك إلى مخلوط العملات، لا يمكنك العودة مرة أخرى، المهاجمين يبدون أن رسوم المعاملات تستحق --- بصراحة، أي شخص يمكن أن يقع في فخ التهيئة، لقد خسرت مرتين بسبب هذه المشكلة فقط --- يمكن سلب صلاحيات المالك، هذا العقد مكتوب بشكل مبدع جدًا

شاهد النسخة الأصليةرد0