La vulnérabilité de ZetaChain a été signalée à l'avance par des white hats mais ignorée, ce qui a finalement conduit à une attaque de 334 000 dollars.

robot
Création du résumé en cours

BlockBeats message, le 29 avril, le protocole cross-chain ZetaChain a révélé que l'incident de vulnérabilité d'environ 334 000 dollars américains récemment impliqué a été signalé à l'avance par des chercheurs dans le cadre du programme de récompense pour bugs, mais à l'époque, il a été considéré par le projet comme un « comportement prévu » et n'a pas été traité. Selon le récapitulatif officiel de l'incident publié, cette attaque provient de la combinaison de trois défauts de conception apparemment indépendants et à faible risque :

Le contrat Gateway permet à quiconque d'envoyer des instructions cross-chain arbitraires ;
Le côté récepteur peut presque exécuter des appels sur n'importe quel contrat, et la liste noire est trop restreinte ;
Certaines portefeuilles conservent longtemps une autorisation illimitée (Unlimited Approval) non nettoyée.

L'attaquant a finalement combiné ces défauts pour indiquer au Gateway de transférer directement des tokens vers son adresse contrôlée, réalisant ainsi un transfert d'actifs. ZetaChain indique que cette attaque a impliqué au total 9 transactions sur quatre chaînes : Ethereum, Arbitrum, Base et BSC, et que les fonds volés proviennent tous d'un portefeuille contrôlé par ZetaChain, les fonds des utilisateurs n'ont pas été affectés.

L'officiel affirme que cette attaque était manifestement préméditée. Trois jours avant l'attaque, l'attaquant a alimenté le portefeuille via Tornado Cash, déployé à l'avance un contrat de drainage dédié, et a également mené une attaque de pollution d'adresse (Address Poisoning).

Actuellement, ZetaChain a commencé à déployer des correctifs sur le nœud principal, désactivant définitivement la fonction d'appel arbitraire (arbitrary call), et a modifié le mécanisme d'autorisation illimitée dans le processus de dépôt en une « autorisation de montant précis ».

ZETA-0,75%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé