Informe de vulnerabilidad de ZetaChain reportado por White Hat pero ignorado, llevando a un ataque de $334,000

El 29 de abril, el protocolo de cadena cruzada ZetaChain reveló que el problema de seguridad involucrado en su reciente ataque de vulnerabilidad de aproximadamente 334,000 dólares había sido reportado previamente por un investigador a través de su programa de recompensas por errores, pero fue descartado por el equipo del proyecto como un ‘comportamiento esperado’ en ese momento. Según la revisión oficial del incidente, el ataque se originó por una combinación de tres fallos de diseño que inicialmente parecían independientes y de bajo riesgo: el contrato Gateway permitía a cualquiera enviar instrucciones arbitrarias de cadena cruzada; el extremo receptor podía ejecutar llamadas en casi cualquier contrato, con restricciones de lista negra excesivamente estrechas; y algunas billeteras mantenían aprobaciones ilimitadas que no fueron eliminadas. El atacante explotó finalmente estos fallos para instruir al Gateway a transferir tokens directamente a una dirección bajo su control, completando la transferencia de activos. ZetaChain afirmó que el ataque involucró nueve transacciones en cuatro cadenas: Ethereum, Arbitrum, Base y BSC, con los fondos robados provenientes de billeteras controladas por ZetaChain, y los fondos de los usuarios no se vieron afectados. El informe oficial indicó que el ataque fue claramente premeditado. El atacante financió su billetera a través de Tornado Cash tres días antes del ataque, desplegó un contrato Drainer dedicado con anticipación y también ejecutó un ataque de envenenamiento de direcciones. ZetaChain ha comenzado a implementar un parche en los nodos de la red principal, desactivando permanentemente la función de llamadas arbitrarias y cambiando el mecanismo de aprobación ilimitada en el proceso de depósito a ‘autorización por cantidad exacta’.