2023年4月29日、クロスチェーンプロトコルZetaChainは、最近約334,000ドルの脆弱性攻撃に関与したセキュリティ問題が、事前に研究者によるバグバウンティプログラムを通じて報告されていたが、当時はプロジェクトチームによって「予想される動作」として却下されたことを明らかにした。公式の事案レビューによると、攻撃は最初は独立して低リスクに見えた3つの設計上の欠陥の組み合わせに起因していた。ゲートウェイコントラクトは誰でも任意のクロスチェーン指示を送信でき、受信側はほぼすべてのコントラクトに対して呼び出しを実行できたが、ブラックリスト制限が狭すぎたこと、そして一部のウォレットは未クリアの無制限承認を保持していたことだ。攻撃者は最終的にこれらの欠陥を悪用し、ゲートウェイに指示してトークンを自分の管理下にあるアドレスに直接送金させ、資産の移転を完了させた。ZetaChainは、攻撃はEthereum、Arbitrum、Base、BSCの4つのチェーンにわたる9つの取引を伴い、盗まれた資金はすべてZetaChainが管理するウォレットから出ており、ユーザの資金には影響がなかったと述べている。公式レポートによると、攻撃は明らかに事前に計画されたものであり、攻撃者は攻撃の3日前にTornado Cashを通じてウォレットに資金を供給し、事前に専用のDrainerコントラクトを展開し、アドレスの毒殺攻撃も実行していた。ZetaChainは、メインネットノードにパッチを展開し、任意呼び出し機能を恒久的に無効化し、預入プロセスにおける無制限承認メカニズムを「正確な金額の承認」に変更し始めている。
ZetaChainの脆弱性がホワイトハットによって報告されるも無視され、$334,000の攻撃につながる
2023年4月29日、クロスチェーンプロトコルZetaChainは、最近約334,000ドルの脆弱性攻撃に関与したセキュリティ問題が、事前に研究者によるバグバウンティプログラムを通じて報告されていたが、当時はプロジェクトチームによって「予想される動作」として却下されたことを明らかにした。公式の事案レビューによると、攻撃は最初は独立して低リスクに見えた3つの設計上の欠陥の組み合わせに起因していた。ゲートウェイコントラクトは誰でも任意のクロスチェーン指示を送信でき、受信側はほぼすべてのコントラクトに対して呼び出しを実行できたが、ブラックリスト制限が狭すぎたこと、そして一部のウォレットは未クリアの無制限承認を保持していたことだ。攻撃者は最終的にこれらの欠陥を悪用し、ゲートウェイに指示してトークンを自分の管理下にあるアドレスに直接送金させ、資産の移転を完了させた。ZetaChainは、攻撃はEthereum、Arbitrum、Base、BSCの4つのチェーンにわたる9つの取引を伴い、盗まれた資金はすべてZetaChainが管理するウォレットから出ており、ユーザの資金には影響がなかったと述べている。公式レポートによると、攻撃は明らかに事前に計画されたものであり、攻撃者は攻撃の3日前にTornado Cashを通じてウォレットに資金を供給し、事前に専用のDrainerコントラクトを展開し、アドレスの毒殺攻撃も実行していた。ZetaChainは、メインネットノードにパッチを展開し、任意呼び出し機能を恒久的に無効化し、預入プロセスにおける無制限承認メカニズムを「正確な金額の承認」に変更し始めている。