EIP-7702漏洞暴露： $280K ETH通过Tornado现金被掏空

安全研究人员发现一起严重事件，一名威胁行为者通过 Tornado Cash 利用未初始化的 EIP-7702 代表合约中的关键漏洞，成功提取了大约 95 ETH (，价值约 28 万美元)。根据 CertiK 警报，该漏洞允许攻击者控制委托机制，随后将所有存放在委托地址的资产转移出去。

攻击过程

此次利用针对一个未正确初始化的 EIP-7702 代表合约——该组件旨在实现账户抽象和高级交易流程。通过操控这一初始化漏洞，攻击者获得了合约的管理权限，实质上绕过了标准的安全协议。一旦掌控控制权，他们便将资金直接转入 Tornado Cash，这是一种常用的隐私混合器，用于隐藏交易轨迹。

对生态系统的影响

此次事件凸显了智能合约开发中的一个持续挑战：代表模式中不完整初始化流程的风险。虽然 EIP-7702 为开发者提供了更大的交易执行灵活性，但如果没有严格的安全措施，也会带来新的利用面。

使用代表合约的项目应立即进行安全审计，确保正确的初始化程序得到执行。持有类似合约架构资产的社区成员应审查自身的风险暴露情况，并考虑将资金转移到经过审计、具有良好安全记录的智能合约中。

当前 ETH 市场状况

截至最新消息，以太坊 (ETH) 交易价格约为 3.15K 美元。此类安全漏洞通常会引发短暂的市场波动，交易者会重新评估风险因素，尽管整个生态系统仍在推进协议改进和增强开发工具，以防止此类漏洞再次发生。