Vulnerabilidad de EIP-7702 explotada: $280K en ETH canalizado a través de Tornado Cash

ponzi_poet · 2026-01-05T14:25:26+00:00

Los investigadores de CertiK informaron de un incidente que involucra una vulnerabilidad en el estándar de delegación EIP-7702 de Ethereum, que permite a un atacante transferir 95 ETH (unos $280,000) a Tornado Cash. Este incidente destaca los riesgos de una inicialización incorrecta de los contratos y la necesidad de auditorías exhaustivas.

ponzi_poet

2026-01-05 14:25:26

Generación de resúmenes en curso

Los investigadores de seguridad en CertiK han detectado un incidente crítico que involucra a un explotador que transfirió con éxito 95 ETH—equivalentes a aproximadamente $280,000 USD según las valoraciones recientes—a Tornado Cash mediante una vulnerabilidad sofisticada en un contrato.

La falla de Delegación EIP-7702

El ataque se centró en un contrato delegado no inicializado relacionado con EIP-7702, el nuevo estándar de delegación de Ethereum. Aprovechando esta brecha de inicialización, el explotador obtuvo la propiedad no autorizada de la dirección del delegado, eludiendo así los controles de seguridad previstos. Esta transferencia de propiedad resultó fatal: permitió al atacante drenar todos los fondos acumulados de la dirección comprometida hacia el mezclador de privacidad.

Cómo se desarrolló el ataque

La secuencia fue sencilla pero devastadora. El estado no inicializado del contrato delegado EIP-7702 creó un vacío de propiedad. El explotador llenó este vacío, obteniendo control total sobre el contrato. Desde esa posición, ejecutó un retiro completo de fondos, enviando 95 ETH a Tornado Cash para ocultar la trazabilidad de la transacción.

Implicaciones de seguridad en Ethereum

Este incidente subraya un riesgo crítico en los estándares de contratos recién desplegados. EIP-7702, aunque introduce capacidades de delegación poderosas en Ethereum, requiere procedimientos de inicialización meticulosos. Cualquier brecha en la configuración del contrato—ya sea intencional o accidental—puede exponer cantidades sustanciales de capital de los usuarios a ataques de extracción. El enrutamiento a través de Tornado Cash complica los esfuerzos de recuperación de fondos, ya que la cadena de transacciones se vuelve difícil de rastrear.

Qué significa esto para los usuarios

Los desarrolladores que implementen contratos delegados EIP-7702 deben tratar la inicialización como innegociable. La $280K pérdida sirve como un recordatorio contundente de que los detalles de implementación del protocolo pueden tener consecuencias financieras enormes. Las auditorías y revisiones de seguridad antes del despliegue en la red principal ya no son opcionales.

ETH-2,73%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.