O otimizador Fusion na Arbitrum foi alvo de um ataque de permissão EIP-7702, com uma perda de 336.000 USDC

【链文】Arbitrum ecossistema voltou a ter problemas. O Vault otimizador de USDC lançado pela Fusion foi atacado em 6 de janeiro, perdendo de uma só vez 33,6 mil dólares.

A origem do problema é bastante típica — no código da versão antiga do Vault, a lógica de “fuse” não foi devidamente validada, dando uma oportunidade aos hackers. Ainda mais grave, o atacante usou uma jogada do EIP-7702, manipulando o controle de administrador através desse mecanismo, injetando um módulo de lógica malicioso, e por fim transferindo o dinheiro para o Tornado.Cash.

Do ponto de vista técnico, este incidente é na verdade uma combinação de duas vulnerabilidades: uma é uma falha lógica no próprio contrato, e a outra é uma gestão de permissões fraca devido à compreensão insuficiente das novas funcionalidades do Ethereum (EIP-7702). Essa combinação resultou em uma vulnerabilidade fatal.

A boa notícia é que esse antigo Vault foi implantado há 490 dias e atualmente poucos ainda o utilizam. A equipe oficial da Fusion afirmou que os demais cofres estão seguros, então não há motivo para pânico. A postura oficial também é positiva, indicando que usarão o fundo DAO para compensar os usuários pelos prejuízos, e estão atualmente rastreando o dinheiro com empresas de segurança como SEAL, Hexagate e Blockaid. Também foi divulgado um relatório técnico detalhado, para quem quiser entender melhor os detalhes da vulnerabilidade.