币小二 快讯,4月29日——Slow Mist 检测到一笔恶意交易,利用了 EIP-7702 账户中的漏洞,导致从一个 QNT 储备池中损失了 1,988.5 QNT (约 54.93 ETH)。

该漏洞源于储备池访问控制中的结构性缺陷。管理员的 EOA 地址通过 EIP-7702 机制将其代码委派给一个 BatchExecutor 合约。随后,BatchExecutor 合约将一个未获授权的 BatchCall 合约指定为授权调用方。然而,BatchCall.batch() 函数缺乏任何权限检查,从而形成了任意调用漏洞。

攻击者利用这一缺口对储备池执行未授权调用并窃取 QNT 代币。此次事件凸显了在智能合约设计中,由于委派方式不当以及权限校验不足所带来的风险,尤其是在使用 EIP-7702 的代码委派功能时。