تم استغلال ثغرة EIP-7702، حيث قام المهاجم بسرقة 95 ETH ونقلها إلى مُجمّع العملات المشفرة

【بيتو】تم الكشف للتو عن حادثة أمنية في العقود الذكية. استغل مهاجم ثغرة في عقد تفويض EIP-7702 غير مهيأ بشكل صحيح، ونجح في الحصول على صلاحيات مالك العقد، ثم قام مباشرة بسحب جميع الأموال من عنوان المفوض. وفقًا لبيانات المراقبة على السلسلة، قام هذا المهاجم بتحويل 95 من ETH (حوالي 28 ألف دولار أمريكي) إلى Tornado Cash لإخفاء هويته.

المشكلة الرئيسية في هذا الحادث تكمن في وجود خلل في تهيئة عقد التفويض EIP-7702 — حيث أن هذا العقد لم يتم تهيئته بشكل صحيح عند النشر، مما سمح للمهاجم بالسيطرة على هوية المالك بتكلفة منخفضة جدًا. بمجرد السيطرة على صلاحيات المالك، أصبح سحب الأموال أمرًا سهلاً جدًا. بعد تحويل الأموال إلى Tornado Cash، زادت صعوبة تتبعها بشكل كبير.

هذا يذكر المطورين بضرورة التأكد من اكتمال عملية التهيئة عند نشر العقود بنمط التفويض، وعدم ترك فرصة للمهاجمين للاستفادة. بالنسبة للمستخدمين العاديين، من الأفضل التحقق من أن هذه العقود قد خضعت لتدقيق أمني قبل التفاعل معها.