2026-01-07 07:29:48

О безопасности IPOR Fusion: ключевая проблема заключается в том, что проект управляет аккаунтами EOA через EIP-7702, и дизайн базового контракта, делегирующего управление, содержит недостатки — отсутствует должный контроль внешних вызовов. В результате злоумышленник использовал эту уязвимость для создания вредоносного контракта для срабатывания (Plasma Vault). Этот вредоносный контракт может обойти обычный механизм вывода и напрямую перевести средства из хранилища. Проще говоря, настройки прав контракта были слишком слабыми, не полностью ограничивая, какие операции можно выполнять, а какие — нет. Этот инцидент вновь напоминает нам: даже инновационные расширения (например, EIP-7702) требуют особой осторожности при внедрении, а контроль доступа к базовым контрактам должен быть достаточно строгим.

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

11 Лайков

Награда
11
8
Репост
Поделиться

комментарий

0/400

ImpermanentSage

· 1ч назад

Опять старые проблемы с управлением правами, как у проектных команд еще остаются такие грубые ошибки Новые технологии могут быть крутыми, но если базовая работа сделана плохо, ничего не спасет, уже не выдерживаю EIP-7702 сама по себе не проблема, проблема в том, что люди, использующие его, ведут себя как идиоты Аудит контрактов уже умер? Такие простые уязвимости тоже проходят Обещанная защита мультиподписей — и вот она, сразу же снята с поддержки Разработчикам нужно серьезно поразмышлять, не перекладывайте вину на экосистему снова

Посмотреть ОригиналОтветить0

BlockchainNewbie

· 01-07 07:59

Когда настройки доступа слишком расслаблены, деньги исчезают — это ловушка, в которую попали многие проекты --- Опять слабый контроль доступа... даже самые инновационные решения бессмысленны, если не позаботиться о базовых вещах --- EIP-7702 — такая новая вещь, а базовые контракты всё ещё позволяют так свободно обращаться? Не удивительно, что их используют для мошенничества --- Пакет Plasma Vault позволяет напрямую переводить деньги из базы данных, насколько же должен быть безумным уровень разрешений, чтобы кто-то мог воспользоваться этим --- Совершенно верно, слишком мягкие разрешения — это приглашение для хакеров, как можно не усвоить этот урок --- Каждый раз одно и то же, команда разработчиков действительно не может позволить себе оплатить аудит --- Одно слово: строго. Если не строго — тебя обязательно подставят, без вариантов --- Инновации — это хорошо, но как можно что-то создавать, если не защищены базовые уровни обороны? --- Кошелек полностью опустошён, этот урок стоит очень дорого --- Это, блин, либо отсутствие аудита, либо его формальность

Посмотреть ОригиналОтветить0

ChainPoet

· 01-07 07:55

Еще одна уязвимость в правах доступа, EIP-7702 — это всё? Перед внедрением новых решений действительно стоит провести несколько дополнительных аудитов --- emm так что просто не зафиксировали контроль доступа, и у контрактов с автоматическим отключением появилась возможность воспользоваться этим? К счастью, это было обнаружено --- Слишком мягкие права доступа — и сразу взлом. Безопасность контрактов — это действительно не шутки --- Перед запуском новых решений столько подводных камней, разработчикам действительно тяжело. Но даже при этом нужно обеспечить базовую защиту, не так ли? --- Опять контроль доступа... Когда в индустрии наконец начнут по-настоящему уделять этому внимание? --- Обход механизма вывода средств и прямой перевод — эта операция немного жесткая. Даже страшно подумать --- Похоже, что сама EIP-7702 без проблем, главное — как её используют --- Контракт с автоматическим отключением звучит устрашающе, на самом деле это просто управление правами доступа не успевает за развитием --- Это еще раз доказывает, что чем новее решение, тем осторожнее нужно быть. Нельзя только стремиться к инновациям и забывать о безопасности

Посмотреть ОригиналОтветить0

GweiWatcher

· 01-07 07:55

Опять не удалось правильно настроить управление правами, действительно ли контракт так легко взломать?

Посмотреть ОригиналОтветить0

HashBandit

· 01-07 07:49

ngl, another day another "мы забыли, что существует контроль доступа" момент... в мои майнинговые дни мы хотя бы знали, как запереть наши риги лол. EIP-7702 звучал круто на бумаге, но именно поэтому я не доверяю новым стандартам до третьего года работы основной сети... слишком свободные разрешения = средства исчезают, довольно очевидная вещь

Посмотреть ОригиналОтветить0

NFTBlackHole

· 01-07 07:41

Опять сбой в настройках прав доступа, этим разработчикам действительно стоит научиться правильно писать контроль доступа EIP-7702 даже при новых инновациях не спасет мусорную архитектуру, если базовые вещи не сделаны хорошо, все напрасно Plasma Vault сразу в сейф, смеюсь, это что, называется "инновация"? Почему каждый раз одна и та же ошибка, разве аудит контрактов — это просто формальность? Новый механизм появился — сразу хочется запускать, это что, азартная игра, брат? Такая мягкая политика в правах доступа и всё равно решились запустить продукт, это действительно удивительно Еще одна ошибка в контракте по учебнику, когда же у нас будет память и мы научимся на своих ошибках?

Посмотреть ОригиналОтветить0

ArbitrageBot

· 01-07 07:39

Опять старый трюк с плохим управлением правами, EIP-7702, насколько бы он ни был крутым, не спасет говнокод --- Дизайн контракта на таком уровне, что смело можно запускать, контроль доступа фактически отсутствует, заслуживает того, чтобы его использовали --- Что бы ни говорили о инновационных решениях, все ерунда, если не обеспечить базовую безопасность, все напрасно --- Планка Vault Plasma действительно на высоте, она доведена до предела, инженеры должны задуматься --- Такие ситуации встречаются слишком часто, всегда виноваты избыточные права --- EIP-7702 выглядит впечатляюще, но при реализации сталкивается с теми же старыми проблемами --- Деньги просто пропали, никакие технологические инновации не компенсируют отсутствие аудита

Посмотреть ОригиналОтветить0

MidnightSnapHunter

· 01-07 07:38

Настройка прав доступа действительно ужасна, EIP-7702 снова и снова доказывает свою неэффективность из-за плохой инфраструктуры... Этот урок IPOR был очень болезненным Еще одна история "мы даже не ожидали, что так можно играть", действительно, безопасность контрактов никогда не бывает окончательной Обход механизма извлечения в контракте с автоматическим отключением? Значит, с аудиторской проверкой что-то не так... иначе как никто не подумал об этом Это называется — сосредоточиться только на инновациях и забыть о защите, такой слабый контроль прав доступа — это действительно безумие Каждый раз так: появляется что-то новое, и все сразу бросаются в бой, а линия безопасности становится такой же хрупкой, как бумага... когда же мы научимся сначала укреплять основы, а потом расширяться

Посмотреть ОригиналОтветить0