EIP-7702 漏洞被利用：$280K 以太坊資金經由 Tornado Cash 洩露

安全研究人員在 CertiK 發現一起嚴重事件，一名攻擊者成功將 95 ETH（根據近期估值約合 28 萬美元）轉入 Tornado Cash，原因是一個複雜的合約漏洞。

EIP-7702 委託缺陷

此次攻擊的核心是與 EIP-7702 相關的未初始化委託合約，這是以太坊的新委託標準。攻擊者利用這一初始化漏洞，獲得了未經授權的委託地址所有權，繞過了預設的安全控制。這一所有權轉移造成了致命後果——攻擊者得以將所有資金從受攻擊的地址轉移到隱私混合器中。

攻擊過程

整個過程簡單但破壞性極大。EIP-7702 委託合約的未初始化狀態造成了一個所有權空缺。攻擊者填補了這一空缺，獲得了對合約的完全控制權。從這個控制點，他們執行了全額提款，將 95 ETH 轉入 Tornado Cash，以模糊交易蹤跡。

以太坊安全影響

此事件凸顯了新部署合約標準中的一個關鍵風險。雖然 EIP-7702 為以太坊引入了強大的委託功能，但其初始化流程必須格外謹慎。任何合約設置中的漏洞——無論是有意還是無意——都可能使大量用戶資金面臨提取攻擊。通過 Tornado Cash 進行資金路由，使得追蹤交易鏈變得困難，增加了資金追回的難度。

對用戶的意義

部署 EIP-7702 委託合約的開發者必須將初始化視為不可妥協的步驟。$280K 這次損失是個嚴重的警示，說明協議實施細節可能帶來巨大的財務後果。在主網部署前進行審計和安全檢查已不再是可選項。