⚠️ثغرة في العقد تم استغلالها: أصول بركة احتياطي QNT تتعرض للهجوم

حدثت مرة أخرى حادثة أمنية على السلسلة. استغل المهاجم ثغرة في تفويض الحساب وتصميم صلاحيات العقد، ونجح في سرقة الأصول من البركة الاحتياطية.
الحالة الرئيسية لهذا الحدث كالتالي:
قام المهاجم بالهجوم عبر آلية حساب EIP-7702 المعيبة
سرق 1,988.5 من عملة Quant (QNT) من البركة الاحتياطية
بقيمة حوالي 54.93 من عملة الإيثيريوم
السبب الجوهري للمشكلة:
1️⃣ عنوان EOA الخاص بمسؤول البركة الاحتياطية قام بتفويض الكود إلى عقد BatchExecutor عبر EIP-7702
2️⃣ هذا العقد قام بعد ذلك بتفويض عقد BatchCall لإجراء استدعاءات مجمعة
3️⃣ لكن وظيفة () لا تحتوي على أي تحقق من الصلاحيات
النتيجة أدت إلى:
👉 أي عنوان خارجي يمكنه استدعاء هذه الوظيفة مباشرة
👉 في النهاية، نجح المهاجم في تنفيذ استدعاء مجمع ونقل أصول البركة الاحتياطية
منظور مهني:
هذه الأنواع من الحوادث ليست مشكلة في الشبكة الأساسية بحد ذاتها، بل هي نتيجة لخطأ في تصميم إدارة صلاحيات العقود. في نظام DeFi، خطأ واحد في تكوين الصلاحيات يمكن أن يؤدي غالبًا إلى استنزاف كامل للأموال.
ملخص بكلمة واحدة:
في عالم السلسلة، الكود هو القواعد، وحدود الأمان غالبًا ما تحدد كل شيء. #WCTC交易王PK #加密市场小幅下跌 #Polymarket每日热点 $ONT $SSV