Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
Безпека знову порушена. Хтось використав вразливість у не ініціалізованому контракту делегування EIP-7702, отримавши повноваження власника контракту та одразу вивівши всі кошти. Ці гроші? 95 ETH, які згодом були переведені до Tornado Cash.
Ключовий момент цієї події полягає в тому, що зловмисник скористався вразливістю ініціалізації у досить новій функціональності EIP-7702. Простими словами, контракт був неправильно ініціалізований, що зробило перевірку прав недієздатною. Отримавши роль власника, виведення коштів стало справою кількох хвилин.
Варто зазначити, що кошти згодом були переведені до міксеру. Це означає, що зловмисник намагався розірвати ланцюг фінансування, ускладнивши слідство. Для розробників контрактів це ще один нагадування — логіка ініціалізації навіть у найменших деталях не повинна бути ігнорована, особливо коли йдеться про управління правами.
---
Знову Tornado Cash, ця команда справді вміє гратися, вони вже знають процеси відмивання грошей
---
Ще не встигли закрити EIP-7702, як уже почали шукати причіпки, нові функції — дуже ризикована зона
---
Управління правами не можна ставити на авось, дрібні деталі можуть зруйнувати всю систему
---
Просто взяти права власника? Це ж дармово, перевірити init так важко?
---
Змішувач одразу показує намір, обходити слідство — старий трюк
---
Треба більше вкладати в аудит контрактів, занадто багато вразливостей через неправильну ініціалізацію
---
95 ETH зникли миттєво, розробники мають зробити висновки
---
Недбала логіка ініціалізації — і ось так тебе обкрадають
---
Tornado Cash знову активний, боротьба з відмиванням грошей у блокчейні — на далекому шляху
EIP-7702 ще так новий, а вже хтось його підставив, смішно
95 ETH у Tornado зникли, ось таке й повсякденне життя Web3
Дозволи контракту справді не можна ігнорувати, один раз знехтуєш — і все очищено
Tornado Cash знову займається відмиванням грошей, кожного разу одна й та сама схема
Коли я бачу такі події, мені здається, що перед запуском нових функцій тестування має бути ще більш ретельним
Перевірка дозволів справді безглузда, як так пройшли перевірку
95 ETH просто зникли, не знаю, які зараз у команди проекту емоції
За кожною вразливістю стоїть "Я ще раз перевірю — і запуск" від якогось розробника
---
95 ETH просто так потрапили у Tornado, складність відстеження зросла в рази
---
Щойно з'явився EIP-7702 — його вже спростували, чи завжди нові функції так себе ведуть?
---
Перевірка прав доступу фактично не працює, і все одно запускаєте? Наскільки ви впевнені у собі?
---
Як тільки я використав міксер, зрозумів, що цей хлопець підготовлений, справжній професіонал злочинів
---
Знову проблема ініціалізації... аудит контрактів вже зовсім не цінний
---
95 ETH зникли просто так, у кого ж такого невезіння проект?
---
Щойно з'явився EIP-7702, вже почалися інциденти безпеки, не можу більше тримати емоції
---
Розірвати ланцюг фінансування і увійти у міксер... тепер хакери так серйозно ставляться до своєї роботи
---
Кожного разу кажуть, що зробили висновки, але наступного разу знову потрапляєш у ту ж яму, вже трохи втомився
Знову проблеми з EIP-7702, розробники мають бути більш уважними
95 ETH у Tornado, вже не повернути
Нові функції мають багато підводних каменів, потрібно ретельно аудитувати
Управління правами доступу дійсно не можна недооцінювати, ціна занадто висока
---
95 ETH у Tornado — і все? За цим слідкувати доводиться ще й детективам з ланцюга
---
EIP-7702 справді є ящиком Пандори, нові функції ще не освоєні, а вже намагаються розгортати? Саме так
---
Керування правами також може призвести до провалу, мені цікаво, хто робив аудит цього контракту
---
Ще один класичний приклад "логіка ініціалізації дуже мала і не варта уваги", така висока ціна за навчання справді
---
Послуга "мікшування" під ключ, цей хлопець у початковій роботі дуже професійний...
---
Розробники мають бути обережні, схоже, що пастки EIP-7702 набагато глибші, ніж здається
---
95 ETH одразу потрапили у Tornado, так швидко зникли
---
EIP-7702 щойно запущений, як його вже зламали? Це надто захоплююче
---
Управління правами дійсно є ключовою точкою боротьби, не можна недбало ставитися
---
Ще не розігріли контракт, а вже його зловили, справді незручно
---
Завжди один і той самий сценарій: ініціалізація → отримання прав → втеча з монетами
---
Якщо б це сталося раніше, це викликало б величезний резонанс
---
Я казав, що пастки нових функцій найглибші, тепер шкодую
---
Дійсно, щоб запобігти цим вразливостям, потрібно бути дуже уважним
---
Знову з'явився Tornado Cash, як тепер його відстежити?
---
Нові функції EIP-7702 одразу ж були зламані, розробникам контрактів справді варто подивитися на цю ситуацію
---
95 ETH у Tornado, і все готово, тепер складно довести щось у блокчейні
---
Перевірка прав доступу — порожній звук? Це ж моя стратегія стабільних збитків у зворотному напрямку
---
Навіть не вміючи правильно ініціалізувати, пишете DeFi-контракти? Раджу всім швидко перевірити себе
---
Ще одна історія про нову функцію та нову вразливість, брате з EIP-7702 — він трохи крутий
---
Як тільки потрапляєш у міксер, назад уже не повернутися, для атакуючого ці витрати на комісію виправдані
---
Чесно кажучи, ініціалізація — це легко зробити помилку, я сам двічі через це прогорів
---
Власницькі права можна відібрати, цей контракт справді має уяву