SlowMist|2026年04月29日 03:42
SlowMist TI 警报
我们检测到一起恶意交易,利用了一个存在漏洞的 EIP-7702 账户,导致 1,988.5 QNT(约 54.93 ETH)的损失。
问题的根源在于,一个 QNT 储备池的管理员身份由一个 EOA(0xc6ddf90790b433743bd050c1d1d45f673a3413f4)持有,该 EOA 通过 EIP-7702 机制将其代码委托给了一个 `BatchExecutor` 合约。
不幸的是,`BatchExecutor` 将无权限限制的 `BatchCall` 合约(0x044dc3e39c566a95011e272ec800dbd2cc9c057c)指定为授权调用者。
然而,`BatchCall.batch()` 完全对任何外部调用者开放,没有任何权限检查。这导致了一个任意调用漏洞,攻击者得以从储备池中提取 QNT 代币。
攻击交易:
https://(etherscan.io)/tx/0x4f31f68df9f240492f13df9ab23207ea231ec1b5a89af9c31cde58e7d98cb18c
由 SlowMist.AI 提供支持
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接