EIP-7702漏洞被利用：$280K 通过Tornado Cash转入ETH

CertiK的安全研究人员已发现一起关键事件，一名攻击者成功将95 ETH（根据近期估值约合28万美元）转入Tornado Cash，原因是一个复杂的合约漏洞。

EIP-7702 委托漏洞

此次攻击集中在与EIP-7702相关的未初始化委托合约上，EIP-7702是以太坊的新委托标准。通过利用这一初始化漏洞，攻击者获得了对委托地址的未授权所有权，实质上绕过了预设的安全控制。这一所有权转移导致了灾难性后果——攻击者能够将所有被攻陷地址中的资金转移到隐私混合器中。

攻击过程

整个过程简单但破坏性极强。EIP-7702委托合约的未初始化状态造成了所有权空缺。攻击者填补了这一空缺，获得了对合约的完全控制权。从这个角度出发，他们执行了全部资金提取，将95 ETH转入Tornado Cash，以隐藏交易轨迹。

以太坊安全影响

此事件凸显了新部署合约标准中的一项关键风险。虽然EIP-7702为以太坊引入了强大的委托功能，但其初始化流程必须极为谨慎。任何合约设置中的漏洞——无论是有意还是无意——都可能使大量用户资金面临提取攻击。通过Tornado Cash的转账也使得资金追踪变得更加困难，增加了资金追回的难度。

对用户的意义

部署EIP-7702委托合约的开发者必须将初始化视为不可妥协的环节。$280K 此次事件清楚地提醒我们，协议实现细节可能带来巨大的财务风险。在主网部署前进行审计和安全评估已不再是可选项。