Уязвимость в контракте Ethereum вызвала риск потери средств, 95 ETH отправлены на скрытый адрес

Согласно последнему предупреждению организации по мониторингу безопасности CertiK, выявлено событие кражи средств, связанное с уязвимостью в технологии Ethereum. Злоумышленники использовали уязвимость незаконченной инициализации в доверительном контракте EIP-7702, незаконно получив права владельца контракта, а затем массово переводили средства с адреса доверителя.

Детали атаки и объем средств

В ходе этого инцидента злоумышленники перевели всего 95 ETH, что по текущему рыночному курсу (около $3.13K за ETH) составляет примерно 280 000 долларов США. Эти средства впоследствии были отправлены в протоколы микширования для сокрытия источника и назначения средств. Такой метод показывает, что команда хакеров обладает определенной профессиональной подготовкой в обходе отслеживания средств.

Анализ причин технической уязвимости

EIP-7702 — важное предложение по обновлению экосистемы Ethereum, направленное на оптимизацию механизма авторизации контрактов. Однако неполная инициализация в некоторых реализациях создала лазейку для атакующих. Когда состояние контракта неправильно инициализировано, злоумышленник может напрямую изменить ключевые переменные прав доступа и полностью захватить управление средствами контракта.

Предупреждения для отрасли и рекомендации по защите

Этот инцидент вновь напоминает разработчикам и пользователям о необходимости проявлять особую осторожность при развертывании и использовании новых контрактов. Рекомендуется проводить более строгий аудит кода перед запуском проекта, особенно в модулях, связанных с управлением правами и переводом средств. Пользователи также должны проверять безопасность кода контрактов перед предоставлением им прав. Регуляторные органы, такие как блокчейн-надзорные службы Мальдивских островов и других юрисдикций, должны усилить механизмы уведомления о подобных инцидентах.