EIP-7702漏洞致QNT池损失54.93ETH，慢雾科技深度披露攻击链

核心提要：慢雾科技揭示一起利用EIP-7702账户委托机制的恶意攻击事件，导致QNT准备金池损失约54.93 ETH及1,988.5枚QNT。技术分析指出权限配置缺陷引发任意调用风险，凸显去中心化架构中的权限管理隐患。

EIP-7702账户委托漏洞引发代币被盗事件

慢雾科技发布报告，揭露一起针对EIP-7702账户模型的恶意交易攻击，造成QNT项目准备金池资金流失，损失金额约合54.93 ETH，另有1,988.5枚QNT被非法转移。

权限配置失当触发合约任意调用风险

攻击根源源于具备管理权限的外部拥有账户（EOA）通过EIP-7702协议将执行逻辑委派至BatchExecutor合约。该合约在配置过程中，错误地将无访问控制的BatchCall合约设为可调用方。由于BatchCall合约的batch()函数未设置调用限制，攻击者得以绕过身份验证，直接发起跨合约调用并提取准备金池中的QNT资产。

委托机制需强化权限边界与审计流程

此事件暴露了在采用账户抽象方案时，若对合约间调用关系缺乏严格权限校验，极易引发资金安全危机。提醒开发者在部署委托架构前必须实施全面的权限审查与接口隔离设计，避免因单一配置失误引发系统性风险。