2026-01-07 07:29:48

Sobre o evento de segurança do IPOR Fusion, a questão central reside na conta EOA gerenciada pela equipe do projeto através do EIP-7702, cujo design do contrato subjacente delegado apresenta uma falha — não há restrições adequadas às chamadas externas. Como resultado, um atacante explorou essa vulnerabilidade para criar um contrato de fusão malicioso (Plasma Vault). Este contrato malicioso consegue contornar o mecanismo normal de retirada, transferindo fundos diretamente do cofre. Em resumo, a configuração de permissões do contrato era demasiado permissiva, não bloqueando completamente quais operações podiam ou não ser executadas. Este evento nos lembra mais uma vez: mesmo soluções inovadoras de expansão (como o EIP-7702) precisam ser implementadas com extremo cuidado, e o controle de acesso ao contrato base deve ser rigorosamente reforçado.

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

11 Curtidas

Recompensa
11
8
Repostar
Compartilhar

Comentário

0/400

ImpermanentSage

· 1h atrás

Mais uma vez, o velho problema de gestão de permissões, como é que ainda há projetos tão rudimentares assim Novas tecnologias, por mais incríveis que sejam, não podem compensar um trabalho de base mal feito, realmente não dá mais EIP-7702 em si não tem problema, o problema é que quem usa está de cabeça quente? A auditoria de contratos já morreu? Como é que esses bugs básicos ainda passam A proteção de múltiplas assinaturas prometida, e agora foi simplesmente retirada Os desenvolvedores precisam refletir seriamente, não joguem a culpa na comunidade novamente

Ver originalResponder0

BlockchainNewbie

· 01-07 07:59

Quando as permissões ficam frouxas, os fundos desaparecem. Este é um erro que já aconteceu em muitos projetos. --- Mais uma vez, o controle de acesso não é rigoroso... Por mais inovador que seja o plano, se a base não estiver bem feita, de nada adianta. --- EIP-7702, uma coisa tão nova, ainda assim os contratos de base são tão negligentes? Merecem ser explorados. --- Aquele sistema do Plasma Vault permite transferir dinheiro diretamente do banco de dados, quão absurdo precisa ser o controle de permissões para que alguém consiga explorar? --- Concordo, permissões frouxas são como um convite para hackers. Como é que ainda há projetos que não aprendem essa lição? --- Sempre que acontece algo assim, a equipe de desenvolvimento realmente não consegue pagar por uma auditoria? --- Uma palavra: rigor. Se não for rigoroso, vai acabar sendo alvo de ataques, sem discussão. --- Inovação é bom, mas se a base de defesa não aguenta, como inovar? --- O cofre foi completamente esvaziado, essa lição custou caro demais. --- Isso aí é porque não fizeram auditoria ou a auditoria foi só de fachada.

Ver originalResponder0

ChainPoet

· 01-07 07:55

Mais uma vulnerabilidade de permissão, EIP-7702 é só isso? Antes de implementar coisas novas, realmente deveria passar por várias auditorias --- emm então é só não deixar o controle de acesso fixo, e o contrato de fallback fica vulnerável? Ainda bem que foi descoberto --- Permissões muito relaxadas levam a ataques diretos, a segurança do contrato realmente não é coisa pequena --- Antes de lançar soluções inovadoras, há muitos obstáculos, a pressão para os desenvolvedores é realmente grande. Mas por maior que seja, também precisam fazer uma proteção básica, certo? --- Mais uma vez, controle de acesso... Quando a indústria realmente vai valorizar essa área? --- Contornar o mecanismo de retirada e fazer transferências diretas, essa operação é um pouco agressiva. Dá até medo só de pensar --- Parece que o EIP-7702 em si não tem problema, o principal é que as pessoas não o usam corretamente --- O contrato de fallback parece assustador, na verdade é só uma gestão de permissão que não acompanhou --- Este episódio mais uma vez prova que quanto mais novo, mais cautela é necessária. Não se pode apenas buscar inovação e esquecer a segurança

Ver originalResponder0

GweiWatcher

· 01-07 07:55

Mais uma vez, a gestão de permissões não foi bem feita. Os contratos realmente são tão fáceis de serem invadidos assim?

Ver originalResponder0

HashBandit

· 01-07 07:49

ngl, mais um dia, mais um momento de "esquecemos que o controlo de acesso existe"... na minha época de mineração, pelo menos sabíamos como proteger as nossas rigs lmao. EIP-7702 parecia fixe na teoria, mas é exatamente por isso que não confio em padrões novos e sofisticados até pelo menos o terceiro ano do mainnet... permissões demasiado permissivas = fundos desaparecem, coisas bastante simples

Ver originalResponder0

NFTBlackHole

· 01-07 07:41

Mais uma vez, problemas na configuração de permissões, essa equipe de desenvolvedores realmente precisa aprender a fazer controle de acesso EIP-7702, por mais que seja uma inovação, não consegue salvar uma arquitetura ruim, se a base não estiver bem feita, tudo é em vão Plasma Vault virou simplesmente uma cofres, que piada, isso que chamam de "inovação"? Por que sempre caímos nas mesmas armadilhas? A auditoria de contratos não é só um procedimento padrão? Quando uma nova mecânica é lançada, já querem colocar em produção, isso é uma aposta, irmão? Permissões tão relaxadas que ainda assim querem lançar o produto, isso é demais Mais uma vulnerabilidade de contrato de nível de livro didático, quando será que vamos aprender a lição?

Ver originalResponder0

ArbitrageBot

· 01-07 07:39

Mais uma vez, a velha história de má gestão de permissões, EIP-7702 por mais incrível que seja, não consegue salvar um código de merda --- O design do contrato é desse nível e ainda assim ousam lançar, o controle de acesso é praticamente inexistente, merecendo ser explorado --- Falar de soluções inovadoras é besteira, se a segurança básica não for bem feita, tudo é em vão --- A jogada do Plasma Vault foi realmente genial, levou a vulnerabilidade ao extremo, os engenheiros deveriam refletir sobre isso --- Já vi esse tipo de coisa muitas vezes, a culpa é sempre de permissões excessivamente permissivas --- EIP-7702 parece impressionante, mas na prática ainda enfrenta os mesmos velhos problemas --- O dinheiro simplesmente desapareceu, nenhuma inovação técnica pode compensar a ausência de auditoria

Ver originalResponder0

MidnightSnapHunter

· 01-07 07:38

A configuração de permissões é mesmo uma dor de cabeça, EIP-7702 por mais inovador que seja, não consegue superar uma infraestrutura ruim... Desta vez, a lição do IPOR foi sangrenta Mais uma história de "não esperávamos que fosse assim", realmente a segurança dos contratos nunca tem fim Contratos de circuit breaker que contornam mecanismos de retirada? Isso mostra que a auditoria deve estar com problemas... senão, como ninguém pensou nisso? Isso é o que se chama de focar só na inovação e esquecer a defesa, o controle de permissões tão frouxo é realmente absurdo Sempre assim, quando uma coisa nova aparece, vai logo para cima, e a linha de defesa de segurança fica tão fraca quanto papel... Quando é que vamos aprender a primeiro fazer uma base sólida antes de expandir?

Ver originalResponder0