Уязвимость EIP-7702 использована: $280K в ETH, направленных через Tornado Cash

Исследователи безопасности из CertiK выявили критический инцидент, связанный с злоумышленником, который успешно перевёл 95 ETH — примерно $280,000 USD по текущим курсам — через Tornado Cash с помощью сложной уязвимости в контракте.

Уязвимость делегирования EIP-7702

Атака была сосредоточена на неинициализированном делегатном контракте, связанном с EIP-7702 — новым стандартом делегирования в Ethereum. Используя этот пробел в инициализации, злоумышленник получил несанкционированное право собственности на адрес делегата, фактически обходя предусмотренные меры безопасности. Передача права собственности оказалась фатальной — это позволило атакующему вывести все накопленные средства с скомпрометированного адреса в приватный миксер.

Как разворачивалась атака

Последовательность действий была простой, но разрушительной. Неинициализированное состояние делегатного контракта EIP-7702 создало вакуум владения. Злоумышленник заполнил этот пробел, получив полный контроль над контрактом. С этого положения он осуществил полный вывод средств, отправив 95 ETH в Tornado Cash, чтобы скрыть следы транзакции.

Последствия для безопасности Ethereum

Этот инцидент подчеркивает критический риск, связанный с новыми стандартами контрактов. EIP-7702, хотя и вводит мощные возможности делегирования для Ethereum, требует тщательной процедуры инициализации. Любой пробел в настройке контракта — будь то умышленный или случайный — может подвергнуть значительные суммы пользовательского капитала атакам на вывод. Использование Tornado Cash усложняет восстановление средств, поскольку цепочка транзакций становится трудно проследить.

Что это значит для пользователей

Разработчики, внедряющие делегатные контракты EIP-7702, должны считать инициализацию обязательной. $280K Потеря служит ярким напоминанием о том, что детали реализации протокола могут иметь огромные финансовые последствия. Аудиты и проверки безопасности перед запуском в основной сети уже не являются опциональными.