ZetaChainの脆弱性はホワイトハットによって事前に報告されたが無視され、最終的に33万4千ドルの攻撃事件につながった

BlockBeats の報告によると、4月29日にクロスチェーンプロトコルZetaChainは、最近約33.4万ドルの脆弱性攻撃事件に関与したセキュリティ問題を公開しました。この問題は、脆弱性報奨金プログラムで研究者によって事前に報告されていましたが、その当時は「予期された行動」と見なされ、対応されませんでした。公式の事故振り返りによると、今回の攻撃は、もともと独立していると思われた3つのリスクの低い設計欠陥の組み合わせに起因しています：

ゲートウェイコントラクトは誰でも任意のクロスチェーン指令を送信できる；
受信側はほぼ任意のコントラクト呼び出しを実行でき、ブラックリスト制限も狭すぎる；
一部のウォレットは長期間無制限の承認（Unlimited Approval）を保持し続け、クリアされていない。

攻撃者はこれらの欠陥を組み合わせて最終的にゲートウェイに指示し、トークンを直接自分の管理アドレスに転送させ、資産の移動を完了させました。ZetaChainは、今回の攻撃はEthereum、Arbitrum、Base、BSCの4つのチェーン上で9件の取引に関与し、盗まれた資金はすべてZetaChainが管理するウォレットからのものであり、ユーザーの資金には影響がなかったと述べています。

公式によると、この攻撃は明らかに計画的なものであるとしています。攻撃者は犯行の3日前にTornado Cashを通じてウォレットに資金を注入し、事前に専用のDrainerコントラクトを展開し、さらにアドレス汚染（Address Poisoning）攻撃も実施しました。

現在、ZetaChainはメインネットのノードに修正パッチを送信し、任意呼び出し（arbitrary call）機能を永久に無効化し、預金プロセスにおける無制限の承認メカニズムを「正確な限度額の承認」に変更しています。