ZetaChain publie une analyse de l'incident : une faille dans la transmission de messages inter-chaînes a entraîné une perte de 330 000 dollars

BlockBeats消息，4月29日，ZetaChain近日发布事后分析报告，确认4月24日的攻击事件源于其跨链消息传递管道中的漏洞。攻击者利用了三个相互关联的问题：跨链系统允许发起「任意调用」且限制极少；接收端的GatewayEVM合约接受了包括「transferFrom」在内的大多数命令；此前用户通过「GatewayEVM.deposit()」存入代币时授予了未撤销的无限制授权，攻击者借此从钱包中提取了代币。

此次攻击共涉及以太坊、Arbitrum、Base和BSC四条链上的9笔交易，总损失为333,868美元（主要为USDC和USDT），仅影响三个内部团队钱包，无用户资金损失。ZetaChain表示，攻击者并非机会主义者，而是投入了大量时间和资源进行准备，包括在攻击前三天通过Tornado Cash为钱包提供资金，并发动了暴力破解攻击以模仿受害者地址。目前ZetaChain已部署补丁，跨链交易功能在完成升级和审查前将保持关闭。