Gate Newsメッセージ、4月29日 — Slow Mistは、EIP-7702アカウントの脆弱性を悪用する悪意のあるトランザクションを検出し、QNTリザーブプールから 1,988.5 QNT (約 54.93 ETH) を失う結果となりました。
脆弱性は、リザーブプールのアクセスに関する構造的な欠陥に起因していました。管理者EOAアドレスは、EIP-7702のメカニズムを介してそのコードをBatchExecutorコントラクトに委任しました。次にBatchExecutorコントラクトは、許可されていないBatchCallコントラクトを認可された呼び出し元として指定しました。しかしながら、BatchCall.batch()関数には、いかなる権限チェックも存在せず、任意呼び出しの脆弱性が生じていました。
攻撃者はこの隙を悪用して、リザーブプールに対して無許可の呼び出しを実行し、QNTトークンを盗みました。このインシデントは、特にEIP-7702のコード委任機能を使用する場合における、スマートコントラクト設計における不適切な委任と不十分な権限検証に関連するリスクを浮き彫りにしています。
