Ethereum đã được gửi vào Tornado Cash sau khi khai thác hợp đồng ủy quyền
Một sự cố bảo mật mới đã xảy ra trong hệ sinh thái Ethereum sau khi một kẻ tấn công được xác định đã gửi 95 ETH vào dịch vụ trộn giao dịch Tornado Cash. Theo một báo cáo từ CertiK Alert, số tiền đã gửi được định giá khoảng 280.000 đô la Mỹ dựa trên giá tại thời điểm xảy ra sự cố. Hành động này diễn ra ngay sau khi kẻ tấn công khai thác thành công một hợp đồng ủy quyền liên quan đến EIP-7702.
Sự khai thác bắt nguồn từ một hợp đồng ủy quyền chưa được khởi tạo đúng cách. Lỗ hổng này cho phép một bên bên ngoài chiếm quyền sở hữu hợp đồng. Trong trường hợp này, kẻ tấn công đã giành quyền kiểm soát hoàn toàn hợp đồng ủy quyền, trao cho họ quyền quản lý các tài sản liên quan. Khi quyền sở hữu được chuyển giao, tất cả các quỹ lưu trữ trong địa chỉ ủy quyền đã ngay lập tức bị rút ra bởi kẻ tấn công mà không gặp phải sự phản kháng nào.
Sau khi rút tiền, kẻ tấn công đã tiếp tục gửi 95 ETH vào Tornado Cash. Việc sử dụng các dịch vụ trộn như Tornado Cash thường nhằm mục đích làm mờ dấu vết giao dịch trên chuỗi, khiến việc truy tìm chuyển động tiếp theo của quỹ trở nên khó khăn hơn. Mô hình này thường xuất hiện trong các trường hợp khai thác hợp đồng thông minh, đặc biệt khi các kẻ tấn công cố gắng tách rời tài sản bị đánh cắp khỏi nguồn gốc ban đầu của chúng.
Sự cố này một lần nữa nhấn mạnh tầm quan trọng nghiêm trọng của việc khởi tạo hợp đồng đúng cách, đặc biệt là trong các cơ chế mới hơn như ủy quyền EIP-7702. Các hợp đồng không được khởi tạo đúng cách có thể làm lộ ra các lỗ hổng nghiêm trọng về quyền sở hữu, cho phép chiếm đoạt tài sản mà không cần vi phạm các hệ thống bảo mật phức tạp hơn. Đối với các nhà phát triển và kiểm toán viên, trường hợp này là một lời nhắc nhở rằng ngay cả những sai sót nhỏ trong giai đoạn triển khai cũng có thể có hậu quả lớn đối với sự an toàn của quỹ trong mạng blockchain. #ETH $ETH
