🚨Cảnh báo an toàn chuỗi lại được nâng cao: Một “vấn đề về thiết kế quyền hạn” đã bị lật tẩy⚠️


Mới nhất phát hiện cho thấy, một bể dự trữ QNT bị tấn công do lỗ hổng trong thiết kế hợp đồng👇
👉 Mất khoảng 1988.5 QNT (khoảng 54.93 ETH)💥
🧠 Vấn đề lần này không phải do kỹ thuật hacker cao siêu, mà là👇
👉 Thiết kế quyền hạn “mở cửa sau”👉
Phân tích quá trình cụ thể:
• Địa chỉ quản trị viên đã ủy quyền mã thông qua EIP-7702
• Ủy quyền cho hợp đồng BatchExecutor
• BatchExecutor lại ủy quyền cho hợp đồng BatchCall không có kiểm soát quyền hạn
• Hàm BatchCall không có bất kỳ kiểm tra quyền hạn nào
👉 Kết quả: kẻ tấn công trực tiếp “gọi hợp pháp thao tác trái phép”
👉 Tài sản trong bể bị dọn sạch trực tiếp
📉 Sự việc này gửi đi một tín hiệu rất nguy hiểm:
👉 Không phải bị “bẻ khóa”, mà là bị “đánh bại bởi quy tắc thiết kế”
⚠ Tóm tắt bản chất rủi ro:
• Chuỗi quyền hạn quá dài → Rủi ro tích tụ từng lớp
• Thiếu kiểm soát truy cập cơ bản nhất
• “Gọi tùy ý” = để lại cửa sau cho kẻ tấn công
👉 Trong DeFi, loại lỗ hổng này nguy hiểm nhất vì👇
Mã là quy tắc, quy tắc sai = tiền mất tật mang
📈 Nhưng cũng có mặt tích cực:
• Sự kiện an toàn công khai minh bạch → Chi phí học hỏi của ngành giảm xuống
• Các cơ chế mới như EIP-7702 đang được thử nghiệm thực chiến
• Nhu cầu kiểm toán an toàn sẽ ngày càng tăng cao
👉 Nói đơn giản:
Mỗi lần bị tấn công, đều là bài học nâng cấp hệ thống thế hệ tiếp theo
🧠 Quan điểm cốt lõi của tôi:
👉 Vấn đề lớn nhất của DeFi chưa bao giờ là hacker👉
Mà là “cấu trúc quyền hạn quá phức tạp + thiết kế an toàn không đầy đủ”
📌 Tóm gọn trong một câu:
Thế giới chuỗi không có trung gian, nhưng nếu thiết kế quyền hạn có lỗ hổng, kẻ tấn công chính là người dùng “hợp pháp” nhất trong hệ thống của bạn.⚠️🔥#WCTC交易王PK #GateCard一拍即付 $BTC $ETH $PRL
BTC-1,46%
ETH-2,41%
PRL0,05%
Xem bản gốc
post-image
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim