Vulnérabilité de l'EIP-7702 exploitée : $280K en ETH acheminés via Tornado Cash

ponzi_poet · 2026-01-05T14:25:26+00:00

Les chercheurs de CertiK ont signalé un incident impliquant une vulnérabilité dans la norme de délégation EIP-7702 d'Ethereum, permettant à un attaquant de transférer 95 ETH (environ 280 000 $) dans Tornado Cash. Cet incident met en évidence les risques liés à une initialisation incorrecte des contrats et la nécessité de audits approfondis.

ponzi_poet

2026-01-05 14:25:26

Création du résumé en cours

Les chercheurs en sécurité de CertiK ont signalé un incident critique impliquant un exploiteur qui a réussi à transférer 95 ETH — équivalent à environ 280 000 USD selon les valorisations récentes — vers Tornado Cash via une vulnérabilité sophistiquée dans un contrat.

La faille de délégation EIP-7702

L’attaque s’est concentrée sur un contrat délégué non initialisé lié à l’EIP-7702, la nouvelle norme de délégation d’Ethereum. En exploitant cette lacune d’initialisation, l’exploiteur a obtenu un contrôle non autorisé sur l’adresse déléguée, contournant ainsi les contrôles de sécurité prévus. Ce transfert de propriété s’est avéré fatal — il a permis à l’attaquant de siphonner tous les fonds accumulés de l’adresse compromise vers le mélangeur de confidentialité.

Comment l’attaque s’est déroulée

La séquence était simple mais dévastatrice. L’état non initialisé du contrat délégué EIP-7702 a créé un vide de propriété. L’exploiteur a comblé cette lacune, obtenant un contrôle total sur le contrat. Depuis ce point, il a effectué un retrait complet des fonds, en routant 95 ETH vers Tornado Cash pour dissimuler la trace de la transaction.

Implications pour la sécurité d’Ethereum

Cet incident souligne un risque critique dans les nouveaux standards de contrats déployés. L’EIP-7702, tout en introduisant des capacités de délégation puissantes pour Ethereum, nécessite des procédures d’initialisation méticuleuses. Toute lacune dans la configuration du contrat — qu’elle soit intentionnelle ou accidentelle — peut exposer une quantité importante de capitaux utilisateur à des attaques d’extraction. Le routage via Tornado Cash complique les efforts de récupération des fonds, car la chaîne de transactions devient difficile à tracer.

Ce que cela signifie pour les utilisateurs

Les développeurs déployant des contrats délégués EIP-7702 doivent considérer l’initialisation comme non négociable. La $280K perte sert de rappel brutal que les détails de mise en œuvre du protocole peuvent avoir des conséquences financières énormes. Les audits et revues de sécurité avant le déploiement sur le mainnet ne sont plus optionnels.

ETH2,35%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.