摘要:慢雾科技披露一起利用EIP-7702账户机制缺陷的恶意攻击事件,导致QNT准备金池损失约54.93 ETH及1,988.5枚QNT。事件源于权限配置错误引发的任意调用漏洞。
币圈界报道:
EIP-7702账户机制缺陷引发代币被盗事件
慢雾科技近日通报,有攻击者利用EIP-7702账户体系中的安全短板实施恶意交易,致使QNT项目准备金池遭受重大损失,累计资金流失达54.93 ETH,同时约1,988.5枚QNT被非法转移。
权限配置失误触发链上攻击路径
调查发现,具备管理权限的外部拥有账户(EOA)在启用EIP-7702委托功能时,将执行逻辑交由BatchExecutor合约处理。该合约随后将无访问控制的BatchCall合约设为可调用方。由于BatchCall合约的batch()函数未设置调用权限限制,攻击者得以绕过验证机制,直接发起跨合约调用并提取准备金池中的QNT资产。
委托架构下权限管控缺失构成重大风险
此次事件凸显了在基于EIP-7702的账户模型中,若对子合约调用权限缺乏严格审查,极易引发不可逆的资金外流。建议所有采用类似架构的项目立即复核权限链设计,强化合约间调用的准入机制。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。