Уязвимость EIP-7702 привела к потерям почти в миллион долларов для DeFi проектов. Безопасностные организации выпустили рекомендации по защите.

【币界】9 июля, согласно сообщениям агентства безопасности, в последнее время произошло несколько случаев атак на контракты, использующих особенности EIP-7702, чтобы обойти механизмы проверки безопасности в блокчейне, включая msg.sender == tx.origin и msg.sender == _owner, что привело к флеш-атакам займа и манипуляциям с ценами, убытки составили почти миллион долларов. Анализ случаев показывает, что злоумышленники осуществили атаки с помощью злонамеренного делегатора, что затронуло такие известные проекты в сфере Децентрализованных финансов, как QuickConverter и несколько пулов CSM.

Внедрение EIP-7702 наделяет адреса EOA возможностями смарт-контрактов, что делает традиционную логику безопасности неэффективной. Безопасные агентства рекомендуют проектным командам усилить защиту от флеш-атаки займа и атак повторного входа, перестроить логику проверки EOA и управления правами, а также постоянно следить за ситуацией с делегированием прав администратора, чтобы предотвратить потенциальные риски.