Faille de sécurité critique découverte dans l'architecture du contrat intelligent du projet Fusion

Les chercheurs en sécurité de SlowMist ont soulevé d’importantes préoccupations concernant une vulnérabilité fondamentale affectant le projet Fusion. Grâce à leur système de détection MistEye, l’équipe a identifié des activités suspectes qui remontent à une faille critique dans l’architecture du contrat intelligent principal.

La vulnérabilité provient d’un mécanisme de contrat délégué qui repose sur le contrôle d’un EOA (Compte Externally Owned) via la norme EIP-7702. Cette architecture de délégation comporte une faille dangereuse qui permet des appels de fonctions externes sans restriction, laissant essentiellement la porte ouverte aux acteurs malveillants pour intervenir.

Ce qui rend cela particulièrement alarmant, c’est le vecteur d’attaque qu’il permet. Les acteurs malveillants peuvent exploiter cette faille pour instancier et déployer des contrats de coupe-circuit frauduleux ciblant spécifiquement PlasmaVault. En contrôlant ces contrats intermédiaires, les attaquants obtiennent une voie pour siphonner des actifs directement depuis l’infrastructure du coffre-fort.

L’incident met en lumière une préoccupation plus large dans l’espace blockchain : les risques liés aux permissions de contrats délégués. Lorsque les contrats fondamentaux dépendent d’une délégation contrôlée par un EOA sans protections adéquates, ils deviennent des cibles attrayantes pour des exploits sophistiqués.

La divulgation de SlowMist sur la plateforme X souligne l’importance d’audits rigoureux des contrats intelligents avant leur déploiement. L’équipe du projet Fusion devra rapidement traiter cette faille pour éviter toute extraction de fonds potentielle. Cela rappelle à d’autres projets que les décisions architecturales concernant la délégation de contrats et la gestion des permissions nécessitent une vigilance accrue et une validation de sécurité en couches.