A vulnerabilidade EIP-7702 levou a perdas de quase um milhão de dólares em projetos de Finanças Descentralizadas. A agência de segurança emitiu recomendações de proteção.

[moeda]界 9 de julho - De acordo com informações de instituições de segurança, vários casos recentes de ataques a contratos utilizaram a característica EIP-7702 para contornar os mecanismos de verificação de segurança na cadeia, incluindo msg.sender == tx.origin e msg.sender == _owner, resultando em ataques de empréstimo flash e manipulação de preços, com perdas que já alcançaram quase um milhão de dólares. A análise de casos mostra que os atacantes implementaram os ataques através de autorização maliciosa de delegadores, afetando projetos conhecidos de Finanças Descentralizadas, incluindo QuickConverter e vários fundos de CSM.

A implementação do EIP-7702 confere capacidades de contrato inteligente a endereços EOA, tornando a lógica de segurança tradicional ineficaz. As entidades de segurança sugerem que os desenvolvedores reforcem a proteção contra ataques de empréstimos flash, proteção contra ataques de reentrada, reestruturem a verificação de EOA e a lógica de gerenciamento de permissões, e mantenham vigilância sobre a situação de delegação de autorização do endereço do administrador, a fim de prevenir riscos potenciais.