TechFlow đưa tin, ngày 29 tháng 4, theo thông báo từ SlowMist, kẻ tấn công đã lợi dụng một tài khoản EIP-7702 bị lỗi để đánh cắp 1.988,5 QNT (tương đương khoảng 54,93 ETH) từ hồ dự trữ QNT.
Nguyên nhân gốc rễ nằm ở chỗ quản trị viên hồ dự trữ — một tài khoản EOA — đã ủy quyền mã cho hợp đồng BatchExecutor thông qua EIP-7702, trong khi hợp đồng này lại thiết lập hợp đồng BatchCall (không có kiểm soát quyền hạn) làm bên được ủy quyền gọi hàm. Do hàm BatchCall.batch() không thực hiện bất kỳ kiểm tra quyền hạn nào, nên bất kỳ bên gọi bên ngoài nào cũng đều có thể kích hoạt hàm này, dẫn đến việc toàn bộ tài sản trong hồ dự trữ bị rút sạch.
Thêm vào mục ưa thích
Chia sẻ lên mạng xã hội
