一个未被禁用的移除模块在协议的状态机中仍然保留其活跃权限。

攻击者可以利用这一点重新激活已弃用的模块（例如，后门、遗留治理）或触发与其他组件的意外交互。

2022年的@QubitFin 8000万美元黑客攻击利用了一个在被弃用后仍保留铸币权限的桥接合约。

使用像@CertoraInc这样的工具从数学上证明操作顺序不变性。

为每个状态转换（例如，ModuleDisabled、ModuleRemoved）发出详细日志。

与监控工具@FortaNetwork集成，以实时标记无序操作。