Lỗ hổng bảo mật nghiêm trọng được phát hiện trong kiến trúc hợp đồng thông minh của dự án Fusion

Các nhà nghiên cứu an ninh tại SlowMist đã nêu ra những mối quan ngại đáng kể về một lỗ hổng cơ bản ảnh hưởng đến dự án Fusion. Thông qua hệ thống phát hiện MistEye của họ, nhóm đã xác định các hoạt động đáng ngờ có nguồn gốc từ một lỗi kiến trúc nghiêm trọng trong hạ tầng hợp đồng thông minh cốt lõi.

Lỗ hổng bắt nguồn từ cơ chế hợp đồng ủy quyền dựa trên EOA (Tài khoản sở hữu bên ngoài) kiểm soát thông qua tiêu chuẩn EIP-7702. Kiến trúc ủy quyền này chứa một điểm yếu nguy hiểm cho phép các cuộc gọi hàm bên ngoài không giới hạn, về cơ bản mở ra cánh cửa cho các tác nhân độc hại can thiệp.

Điều làm cho vấn đề này đặc biệt đáng lo ngại là vector tấn công mà nó tạo ra. Các tác nhân xấu có thể lợi dụng lỗ hổng này để khởi tạo và triển khai các hợp đồng circuit breaker giả mạo nhằm mục tiêu vào PlasmaVault. Bằng cách kiểm soát các hợp đồng trung gian này, kẻ tấn công có thể dẫn đường để rút tài sản trực tiếp từ hạ tầng vault.

Sự cố này làm nổi bật một mối quan ngại lớn hơn trong lĩnh vực blockchain: các rủi ro liên quan đến quyền hạn hợp đồng ủy quyền. Khi các hợp đồng nền tảng phụ thuộc vào sự kiểm soát của EOA mà không có các biện pháp bảo vệ thích hợp, chúng trở thành mục tiêu hấp dẫn cho các cuộc khai thác tinh vi.

Thông báo của SlowMist trên nền tảng X nhấn mạnh tầm quan trọng của việc kiểm tra hợp đồng thông minh một cách nghiêm ngặt trước khi triển khai. Nhóm dự án Fusion sẽ cần phải khắc phục lỗ hổng này một cách nhanh chóng để ngăn chặn khả năng rút tiền tiềm năng. Điều này là một lời nhắc nhở cho các dự án khác: các quyết định kiến trúc liên quan đến quyền hạn hợp đồng và quản lý quyền cần được xem xét kỹ lưỡng hơn và có các lớp xác thực bảo mật bổ sung.