L'optimiseur Fusion sur Arbitrum victime d'une attaque de permission EIP-7702, perte de 336 000 USDC

【链文】L’écosystème Arbitrum a de nouveau des problèmes. Le Vault optimiseur USDC lancé par Fusion a été attaqué le 6 janvier, perdant d’un coup 336 000 dollars.

La cause de l’incident est en fait assez typique — l’ancienne version du code Vault n’a pas bien validé la logique « fuse », donnant une occasion aux pirates. Pire encore, l’attaquant a joué un tour avec EIP-7702, utilisant ce mécanisme pour manipuler les permissions d’administration, puis injecter un module logique malveillant, et finalement transférer les fonds vers Tornado.Cash.

D’un point de vue technique, cet incident est en réalité une superposition de deux failles : l’une est un défaut logique dans le contrat lui-même, l’autre est une gestion faible des permissions résultant d’une compréhension insuffisante des nouvelles fonctionnalités d’Ethereum (EIP-7702). Cette combinaison s’est avérée être une faille fatale.

La bonne nouvelle, c’est que ce vieux Vault a été déployé il y a 490 jours et est maintenant peu utilisé. Fusion a déclaré que les autres coffres-forts n’ont pas de problèmes, donc pas besoin de paniquer trop. L’attitude officielle est plutôt bonne, déclarant qu’elle compensera les pertes des utilisateurs en utilisant les finances du DAO, et elle travaille actuellement avec des entreprises de sécurité comme SEAL, Hexagate et Blockaid pour tracer ces fonds. Un rapport technique d’examen a également été publié, ceux qui souhaitent mieux comprendre les détails de la vulnérabilité peuvent le consulter.