4月29日,据慢雾监测,攻击者利用一个存在缺陷的EIP-7702账户,从QNT储备池盗取1,988.5枚QNT(约合54.93枚ETH)。根本原因在于,该储备池管理员EOA通过EIP-7702将代码委托给BatchExecutor合约,而该合约将无权限控制的BatchCall合约设为授权调用方。 由于BatchCall.batch()函数未设置任何权限校验,任意外部调用者均可调用,最终导致储备池资产被耗尽。