【链文】Arbitrumエコシステムにまた問題が発生しました。Fusionが提供するUSDC最適化Vaultが1月6日に攻撃され、一気に33.6万ドルを失いました。事の発端は非常に典型的です——旧バージョンのVaultコードには、「fuse」ロジックの検証不足があり、ハッカーに乗じる隙を与えてしまいました。さらに悪いことに、攻撃者はEIP-7702の仕組みを利用し、管理者権限を強制的に操作し、悪意のあるロジックモジュールを注入、その後資金をTornado.Cashに送金しました。技術的に見ると、今回の事件は実際には二つの脆弱性の重ね技です。一つはコントラクト自体のロジックの欠陥、もう一つは新しいイーサリアムの機能(EIP-7702)に対する理解不足による権限管理の脆弱さです。これらが組み合わさることで致命的な脆弱性となりました。良いニュースは、この古いVaultは490日前にデプロイされたもので、現在ほとんど誰も使っていないということです。Fusionの公式は、他の金庫には問題がないと述べており、過度に恐れる必要はありません。公式の対応も良好で、DAOの財政からユーザーの損失を補填する予定であり、現在SEAL、Hexagate、Blockaidなどのセキュリティ企業とともに資金の追跡を行っています。技術的な振り返りも公開されているので、詳細な脆弱性の内容を知りたい方は確認してください。
Arbitrum上のFusionオプティマイザーがEIP-7702権限攻撃を受け、33.6万USDCを失う
【链文】Arbitrumエコシステムにまた問題が発生しました。Fusionが提供するUSDC最適化Vaultが1月6日に攻撃され、一気に33.6万ドルを失いました。
事の発端は非常に典型的です——旧バージョンのVaultコードには、「fuse」ロジックの検証不足があり、ハッカーに乗じる隙を与えてしまいました。さらに悪いことに、攻撃者はEIP-7702の仕組みを利用し、管理者権限を強制的に操作し、悪意のあるロジックモジュールを注入、その後資金をTornado.Cashに送金しました。
技術的に見ると、今回の事件は実際には二つの脆弱性の重ね技です。一つはコントラクト自体のロジックの欠陥、もう一つは新しいイーサリアムの機能(EIP-7702)に対する理解不足による権限管理の脆弱さです。これらが組み合わさることで致命的な脆弱性となりました。
良いニュースは、この古いVaultは490日前にデプロイされたもので、現在ほとんど誰も使っていないということです。Fusionの公式は、他の金庫には問題がないと述べており、過度に恐れる必要はありません。公式の対応も良好で、DAOの財政からユーザーの損失を補填する予定であり、現在SEAL、Hexagate、Blockaidなどのセキュリティ企業とともに資金の追跡を行っています。技術的な振り返りも公開されているので、詳細な脆弱性の内容を知りたい方は確認してください。