Rapport de vulnérabilité de ZetaChain signalé par White Hat mais ignoré, entraînant une attaque de 334 000 $

Le 29 avril, le protocole cross-chain ZetaChain a divulgué que le problème de sécurité impliqué dans sa récente attaque de vulnérabilité d’environ 334 000 dollars avait été signalé à l’avance par un chercheur via son programme de récompense de bugs, mais avait été rejeté par l’équipe du projet comme étant un « comportement attendu » à l’époque. Selon l’examen officiel de l’incident, l’attaque provenait d’une combinaison de trois défauts de conception qui semblaient initialement indépendants et à faible risque : le contrat Gateway permettait à quiconque d’envoyer des instructions cross-chain arbitraires ; la partie réceptrice pouvait exécuter des appels sur presque tous les contrats, avec des restrictions de liste noire trop étroites ; et certains portefeuilles conservaient des autorisations illimitées qui n’avaient pas été révoquées. L’attaquant a finalement exploité ces défauts pour ordonner au Gateway de transférer des jetons directement vers une adresse sous son contrôle, complétant ainsi le transfert d’actifs. ZetaChain a déclaré que l’attaque impliquait neuf transactions sur quatre chaînes : Ethereum, Arbitrum, Base et BSC, avec tous les fonds volés provenant de portefeuilles contrôlés par ZetaChain, et que les fonds des utilisateurs n’ont pas été affectés. Le rapport officiel indiquait que l’attaque était clairement préméditée. L’attaquant a financé son portefeuille via Tornado Cash trois jours avant l’attaque, a déployé à l’avance un contrat Drainer dédié, et a également exécuté une attaque de poisoning d’adresse. ZetaChain a commencé à déployer un correctif sur les nœuds mainnet, désactivant définitivement la fonction d’appel arbitraire et modifiant le mécanisme d’autorisation d’approbation illimitée dans le processus de dépôt en « autorisation de montant exact ».