ZetaChain発表事故分析：クロスチェーンメッセージ伝達の脆弱性により33万ドルの損失

BlockBeats の報告によると、4月29日にZetaChainは最近の事後分析レポートを公開し、4月24日の攻撃事件の原因がそのクロスチェーンメッセージ伝達パイプラインの脆弱性に起因していることを確認した。攻撃者は三つの相互に関連する問題を悪用した：クロスチェーンシステムは「任意呼び出し」を許可し、制限がほとんどない；受信側のGatewayEVMコントラクトは「transferFrom」を含むほとんどのコマンドを受け入れた；以前、ユーザーが「GatewayEVM.deposit()」を通じてトークンを預ける際に撤回されていない無制限の許可を付与しており、攻撃者はこれを利用してウォレットからトークンを引き出した。

今回の攻撃はEthereum、Arbitrum、Base、BSCの四つのチェーン上で9件の取引に関与し、総損失額は33万3,868ドル（主にUSDCとUSDT）であり、三つの内部チームのウォレットのみを対象とし、ユーザ資金の損失はなかった。ZetaChainは、攻撃者は単なる機会主義者ではなく、多くの時間とリソースを投入して準備を行ったと述べている。攻撃の三日前にはTornado Cashを通じてウォレットに資金を提供し、ブルートフォース攻撃を仕掛けて被害者のアドレスを模倣した。現在、ZetaChainはパッチを展開しており、クロスチェーン取引機能はアップグレードと審査が完了するまで停止されたままである。