EIP-7702 漏洞曝光： $280K ETH 透過 Tornado Cash 被抽乾

安全研究人員指出一起嚴重事件，一名威脅行為者透過 Tornado Cash 成功提取約 95 ETH (，價值約 28 萬美元)，利用未初始化的 EIP-7702 代理合約中的重大漏洞。根據 CertiK 警報，該漏洞使攻擊者能夠控制委託機制，隨後轉移所有存放在委託地址的資產。

攻擊過程

此攻擊針對一個未正確初始化的 EIP-7702 代理合約——一個旨在促進帳戶抽象和高級交易流程的組件。通過操控這一初始化漏洞，攻擊者獲得了合約的管理權，實質上繞過了標準的安全協議。一旦掌控，他們便將資金直接轉向 Tornado Cash，一個常用來模糊交易痕跡的隱私混合器。

對生態系的影響

此事件凸顯智能合約開發中的一個持續挑戰：委託模式中未完成初始化程序的風險。雖然 EIP-7702 為開發者提供了更大的交易執行彈性，但如果未嚴格實施安全措施，則可能暴露新的攻擊面。

使用委託合約的項目應立即進行安全審計，以確保正確的初始化程序已被強制執行。持有類似合約架構資產的社群成員，建議檢查自身的風險暴露情況，並考慮將資金轉移至經過審核、具有良好安全記錄的智能合約。

ETH 市場現況

截至最新消息，以太坊 (ETH) 的交易價格約為 3.15K 美元。此類安全漏洞通常會引發短暫的市場波動，因交易者重新評估風險因素，儘管整個生態系仍在推進協議改進和增強開發工具，以防止此類漏洞再次發生。