Уразливість контракту Ethereum спричинила ризик для коштів, 95 ETH переказано на приховану адресу

Згідно з останнім попередженням від організації з безпеки CertiK, з’явилася нова подія крадіжки коштів, що стосується вразливості в технології Ethereum. Зловмисники використали вразливість у незавершеній реалізації контракту довіреності EIP-7702, незаконно отримали права власника контракту, а потім з великою кількістю переказали кошти з адреси довірителя.

Деталі атаки та обсяг коштів

У цій події зловмисники переказали всього 95 ETH, що за поточним ринковим курсом (близько $3.13K за ETH) становить приблизно 280 000 доларів США. Ці кошти були згодом переказані до протоколів змішування для приховування джерела та напрямку переказів. Такий спосіб дій свідчить про високий рівень професіоналізму хакерської групи у обході слідів коштів.

Аналіз причин технічної вразливості

EIP-7702 — важливий пропонований оновлення в екосистемі Ethereum, спрямоване на оптимізацію механізму авторизації контрактів. Однак, проблеми з неповною ініціалізацією під час реалізації створили можливість для атакуючих. Коли стан контракту неправильно ініціалізований, зловмисник може безпосередньо змінювати ключові змінні прав доступу, повністю захоплюючи функції управління коштами контракту.

Попередження для галузі та рекомендації щодо захисту

Ця подія знову нагадує розробникам і користувачам бути особливо обережними при розгортанні та використанні нових контрактів. Рекомендується проектам проводити більш строгий аудит коду перед запуском, особливо щодо управління правами та ключовими модулями переказу коштів. Користувачам також слід перевіряти безпеку коду контрактів перед наданням їм прав. Регуляторні органи, такі як блокчейн-інспекційні відомства Маршаллових Островів, мають посилити механізми повідомлення про такі інциденти безпеки.