تقرير عن ثغرة في زيتا تشين أبلغ عنها هاكر أبيض لكن تم تجاهلها، مما أدى إلى هجوم بقيمة 334,000 دولار

في 29 أبريل، كشفت بروتوكول السلسلة المتقاطعة ZetaChain أن المشكلة الأمنية المتعلقة بهجوم الثغرة الذي بلغ حوالي 334,000 دولار قد تم الإبلاغ عنها مسبقًا من قبل باحث من خلال برنامج مكافأة الثغرات الخاص بها، ولكن تم رفضها من قبل فريق المشروع باعتبارها “سلوك متوقع” في ذلك الوقت. وفقًا لمراجعة الحادث الرسمية، نشأ الهجوم من مزيج من ثلاثة عيوب تصميمية ظهرت في البداية بأنها مستقلة ومنخفضة المخاطر: سمح عقد البوابة لأي شخص بإرسال تعليمات عابرة للسلاسل بشكل عشوائي؛ يمكن للطرف المستقبل تنفيذ استدعاءات على أي عقد تقريبًا، مع قيود سوداء ضيقة جدًا؛ وبعض المحافظ احتفظت بموافقات غير محدودة لم يتم مسحها. استغل المهاجم في النهاية هذه العيوب لتوجيه عقد البوابة لنقل الرموز مباشرة إلى عنوان تحت سيطرته، مكتملًا عملية نقل الأصول. ذكرت ZetaChain أن الهجوم شمل تسع معاملات عبر أربع سلاسل: إيثريوم، أربيتروم، بيز، وBSC، وأن الأموال المسروقة جاءت جميعها من محافظ يسيطر عليها ZetaChain، ولم تتأثر أموال المستخدمين. وأشار التقرير الرسمي إلى أن الهجوم كان مخططًا له بوضوح مسبقًا. قام المهاجم بتمويل محفظته من خلال Tornado Cash قبل ثلاثة أيام من الهجوم، ونشر عقد سحب مخصص مسبقًا، وشن أيضًا هجوم تسميم العنوان. بدأت ZetaChain في إصدار تصحيح لعقد الشبكة الرئيسية، معطلة بشكل دائم ميزة الاستدعاء العشوائي، وتغيير آلية الموافقة غير المحدودة في عملية الإيداع إلى “تفويض المبلغ الدقيق”.