2026-01-07 07:29:48

Sobre el incidente de seguridad de IPOR Fusion, la clave del problema radica en que la cuenta EOA gestionada por el proyecto a través de EIP-7702 tenía un diseño de contrato subyacente con defectos: no se limitaron adecuadamente las llamadas externas, y como resultado, un atacante aprovechó esta vulnerabilidad para crear un contrato de熔断 malicioso (Plasma Vault). Este contrato malicioso pudo eludir el mecanismo normal de extracción y transferir fondos directamente desde la bóveda. En pocas palabras, la configuración de permisos del contrato era demasiado permisiva, no se bloquearon completamente las operaciones que podían o no podían ejecutarse. Este incidente nos recuerda una vez más: incluso las soluciones innovadoras de expansión (como EIP-7702) deben implementarse con especial cautela, y el control de acceso del contrato base debe ser lo suficientemente estricto.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.

11 me gusta

Recompensa
11
8
Republicar
Compartir

Comentar

0/400

ImpermanentSage

· hace1h

Otra vez el viejo problema de la gestión de permisos, ¿cómo es que todavía hay proyectos tan poco profesionales? Por muy buena que sea la nueva tecnología, no puede compensar un trabajo básico mal hecho, realmente no puedo más. EIP-7702 en sí no tiene problema, ¿el problema es que la gente que lo usa tiene la cabeza en las nubes? ¿Ya no hacen auditorías de contratos? Incluso estas vulnerabilidades básicas pueden pasar. ¿La protección de múltiples firmas prometida? Pues ya la han levantado directamente. Los desarrolladores deben reflexionar seriamente, no vuelvan a culpar a la comunidad.

Ver originalesResponder0

BlockchainNewbie

· 01-07 07:59

Una vez que se relajan los permisos, los fondos desaparecen. ¿Cuántos proyectos han caído en esa misma trampa? --- Otra vez, control de acceso insuficiente... Por muy innovador que sea el plan, si no se hace un trabajo básico bien, de nada sirve. --- ¿EIP-7702, algo tan nuevo, todavía permite contratos subyacentes tan a la ligera? Merecido ser víctima de un exploit. --- La serie Plasma Vault permite transferir dinero directamente desde la base de datos, ¿qué configuración de permisos tan absurda permite que alguien explote esa vulnerabilidad? --- Tienes razón, permisos laxos son como enviar invitaciones a hackers. ¿Cómo es que todavía hay proyectos que no aprenden esa lección? --- Siempre pasa lo mismo, ¿el equipo de desarrollo realmente no puede pagar por una auditoría? --- Una palabra: estricto. Si no es estricto, te cortan, sin discusión. --- La innovación es buena, pero si no puedes mantener la línea de defensa básica, ¿de qué sirve innovar? --- El tesoro fue vaciado directamente, esa lección fue demasiado costosa. --- Esto seguramente es porque no se hizo auditoría o la auditoría fue solo de fachada.

Ver originalesResponder0

ChainPoet

· 01-07 07:55

Otro fallo de seguridad, ¿EIP-7702 solo eso? Antes de implementar cosas nuevas, realmente deberíamos auditar varias veces --- emm¿Así que simplemente no se ha fijado el control de acceso, y el contrato de corte tiene oportunidad de aprovecharse? Menos mal que se descubrió --- Un control de acceso demasiado permisivo lleva a ataques directos, la seguridad del contrato realmente no es un asunto menor --- Antes de lanzar soluciones innovadoras, hay tantos obstáculos, la presión sobre los desarrolladores es realmente grande. Pero por muy grande que sea, ¿no deberían hacer una protección básica? --- Otra vez control de acceso... ¿Cuándo podrá la industria realmente prestar atención a esto? --- Bypassear el mecanismo de extracción y transferir directamente, esta operación es un poco dura. Da miedo solo pensarlo --- Parece que EIP-7702 en sí no tiene problema, principalmente es que las personas no lo usan bien --- El contrato de corte suena impresionante, pero en realidad solo es una gestión de permisos que no ha seguido el ritmo --- Esto una vez más demuestra que cuanto más nuevo sea algo, más hay que tener cuidado. No solo hay que innovar, también hay que cuidar la seguridad

Ver originalesResponder0

GweiWatcher

· 01-07 07:55

¿Otra vez la gestión de permisos no está bien hecha? ¿Realmente es tan fácil que el contrato sea vulnerado?

Ver originalesResponder0

HashBandit

· 01-07 07:49

ngl, otro día, otro momento de "olvidamos que el control de acceso existe"... en mis días de minería al menos sabíamos cómo asegurar nuestras rigs lmao. EIP-7702 sonaba genial en papel, pero por eso no confío en estándares nuevos y elegantes hasta como al tercer año de mainnet... permisos demasiado laxos = fondos desaparecen, cosas bastante sencillas

Ver originalesResponder0

NFTBlackHole

· 01-07 07:41

Otra vez un fallo en la configuración de permisos, esta gente de desarrollo realmente debería aprender cómo escribir controles de acceso EIP-7702 por más que innove no puede salvar una arquitectura basura, si la base no está bien hecha, todo es en vano Plasma Vault directamente se llama "bóveda", qué risa, ¿esto es llamado "innovación"? ¿por qué siempre caemos en las mismas trampas? ¿La auditoría de contratos es solo un proceso? Cuando aparece un nuevo mecanismo, ya quieren lanzarlo, ¿esto es una apuesta, hermano? Tanta permisividad para que un producto salga al mercado, realmente impresionante Otro fallo en el contrato de nivel de libro de texto, ¿cuándo aprenderemos la lección?

Ver originalesResponder0

ArbitrageBot

· 01-07 07:39

Otra vez la vieja historia de una gestión de permisos mal hecha, por muy impresionante que sea EIP-7702, no puede salvar un código de mierda --- El diseño del contrato es de ese nivel y aún así se atreven a lanzarlo, el control de acceso es prácticamente inexistente, merecen ser explotados --- Decir que las soluciones innovadoras son solo palabrería, si no se hace bien la seguridad básica, todo es en vano --- Esa jugada de Plasma Vault fue realmente impresionante, llevó la vulnerabilidad al extremo, los ingenieros deberían reflexionar sobre ello --- He visto muchas cosas así, siempre es culpa de permisos demasiado permisivos --- EIP-7702 puede parecer avanzado, pero en la práctica sigue enfrentándose a los mismos viejos problemas --- El dinero simplemente se perdió, por más innovaciones técnicas que haya, no puede compensar la falta de auditoría

Ver originalesResponder0

MidnightSnapHunter

· 01-07 07:38

La configuración de permisos realmente es un problema serio, EIP-7702, por más innovaciones que tenga, no puede superar una infraestructura deficiente... La lección de IPOR esta vez ha sido muy dura. Otra historia de "no esperábamos que esto se pudiera hacer así", realmente la seguridad de los contratos nunca termina. ¿El contrato de límite de mercado que evita el mecanismo de extracción? Indica que hay un problema en la auditoría... de lo contrario, ¿cómo nadie pensó en esto? Esto se llama centrarse solo en la innovación y olvidar la defensa, tener un control de permisos tan laxo es realmente absurdo. Siempre pasa lo mismo, cuando aparece algo nuevo, se lanza rápidamente, y la línea de defensa de seguridad queda como papel... ¿Cuándo aprenderemos a fortalecer lo básico antes de expandirnos?

Ver originalesResponder0