Ethereum Deposited into Tornado Cash Following Delegation Contract Exploit
Un nuovo incidente di sicurezza si è verificato all'interno dell'ecosistema Ethereum dopo che un attaccante è stato identificato mentre depositava 95 ETH nel servizio di miscelazione delle transazioni Tornado Cash. Secondo un rapporto di CertiK Alert, i fondi depositati erano valutati a circa 280.000 dollari statunitensi in base ai prezzi dell'epoca dell'incidente. Questa azione è avvenuta poco dopo che l'attaccante ha sfruttato con successo un contratto di delega relativo all'EIP-7702.
L'exploit è originato da un contratto di delega che non era stato correttamente inizializzato. Questa vulnerabilità ha permesso a una parte esterna di assumere i diritti di proprietà del contratto. In questo caso, l'attaccante ha ottenuto il pieno controllo sul contratto di delega, concedendo loro l'autorità di gestire i beni ad esso associati. Una volta trasferita la proprietà, tutti i fondi conservati nell'indirizzo di delega sono stati immediatamente ritirati dall'attaccante senza resistenza.
Dopo aver ritirato i fondi, l'attaccante ha proceduto a depositare 95 ETH in Tornado Cash. L'uso di servizi di miscelazione come Tornado Cash è comunemente inteso a oscurare le tracce delle transazioni on-chain, rendendo più difficile rintracciare il successivo movimento dei fondi. Questo schema appare frequentemente nei casi di sfruttamento dei contratti intelligenti, in particolare quando gli attaccanti tentano di allontanare i beni rubati dalla loro fonte originale.
Questo incidente evidenzia ancora una volta l'importanza critica di una corretta inizializzazione dei contratti, specialmente in meccanismi più recenti come la delega EIP-7702. I contratti che non sono correttamente inizializzati possono esporre gravi vulnerabilità di proprietà, consentendo takeover di beni senza la necessità di violare sistemi di sicurezza più complessi. Per sviluppatori e revisori, questo caso serve come promemoria che anche piccoli errori durante la fase di distribuzione possono avere conseguenze significative per la sicurezza dei fondi all'interno della rete blockchain. #ETH $ETH
