Se descubre una vulnerabilidad de seguridad crítica en la arquitectura del contrato inteligente del proyecto Fusion

Los investigadores de seguridad de SlowMist han planteado preocupaciones importantes sobre una vulnerabilidad fundamental que afecta al proyecto Fusion. A través de su sistema de detección MistEye, el equipo ha identificado actividades sospechosas que se remontan a una falla crítica en la arquitectura del contrato inteligente principal.

La vulnerabilidad proviene de un mecanismo de contrato delegado que depende del control de una (Cuenta Externamente Propietaria) (EOA) mediante el estándar EIP-7702. Esta arquitectura de delegación contiene un fallo peligroso que permite llamadas a funciones externas sin restricciones, dejando la puerta abierta a actores maliciosos para intervenir.

Lo que hace esto particularmente alarmante es el vector de ataque que habilita. Los actores malintencionados pueden aprovechar esta falla para instanciar y desplegar contratos de interruptor de circuito falsos dirigidos específicamente a PlasmaVault. Al controlar estos contratos intermediarios, los atacantes obtienen un camino para desviar activos directamente desde la infraestructura del vault.

El incidente pone de manifiesto una preocupación más amplia en el espacio blockchain: los riesgos asociados con los permisos de contratos delegados. Cuando los contratos fundamentales dependen de la delegación controlada por EOA sin las salvaguardas adecuadas, se convierten en objetivos atractivos para exploits sofisticados.

La divulgación de SlowMist en la plataforma X señala la importancia de realizar auditorías rigurosas de contratos inteligentes antes de su despliegue. El equipo del proyecto Fusion deberá abordar esta falla rápidamente para evitar la extracción potencial de fondos. Esto sirve como un recordatorio para otros proyectos: las decisiones arquitectónicas en torno a la delegación de contratos y la gestión de permisos requieren una revisión exhaustiva y una validación de seguridad en capas.