استغلال ثغرة EIP-7702: $280K في إيداع ETH عبر Tornado Cash

بحث خبراء الأمن في CertiK عن حادثة حرجة تتعلق بمهاجم نجح في نقل 95 ETH—ما يعادل تقريبًا 280,000 دولار أمريكي استنادًا إلى التقييمات الأخيرة—إلى Tornado Cash عبر ثغرة عقد معقدة.

خلل تفويض EIP-7702

ركز الهجوم على عقد تفويض غير مهيأ مرتبط بـ EIP-7702، وهو معيار التفويض الجديد في إيثريوم. من خلال استغلال فجوة التهيئة هذه، حصل المهاجم على ملكية غير مصرح بها لعنوان التفويض، متجاوزًا ضوابط الأمان المقصودة. ثبت أن هذا النقل للملكية مميت—حيث سمح للمهاجم بسحب جميع الأموال المتراكمة من العنوان المخترق إلى المموه الخاص.

كيف حدث الهجوم

كانت السلسلة بسيطة لكنها مدمرة. الحالة غير المهيأة لعقد تفويض EIP-7702 خلقت فراغًا في الملكية. ملأ المهاجم هذا الفراغ، وحصل على السيطرة الكاملة على العقد. من هذا الموقع، نفذ سحبًا كاملًا للأموال، حيث حول 95 ETH إلى Tornado Cash لإخفاء أثر المعاملة.

تداعيات أمن إيثريوم

تؤكد هذه الحادثة على خطر حاسم في معايير العقود التي تم نشرها حديثًا. على الرغم من أن EIP-7702 يقدم قدرات تفويض قوية لإيثريوم، إلا أنه يتطلب إجراءات تهيئة دقيقة. أي فجوة في إعداد العقد—سواء كانت متعمدة أو غير مقصودة—يمكن أن تعرض كميات كبيرة من رأس مال المستخدمين لهجمات السحب. تعقيد التحويل عبر Tornado Cash يصعب جهود استرداد الأموال، حيث يصبح تتبع سلسلة المعاملات أمرًا صعبًا.

ماذا يعني هذا للمستخدمين

يجب على المطورين الذين ينشرون عقود تفويض EIP-7702 أن يعتبروا التهيئة أمرًا غير قابل للتفاوض. $280K الخسارة تذكرنا بشكل صارخ بأن تفاصيل تنفيذ البروتوكول يمكن أن يكون لها عواقب مالية هائلة. لم تعد التدقيقات والمراجعات الأمنية قبل نشر الشبكة الرئيسية خيارًا، بل ضرورة.