Vulnerabilidade da ZetaChain foi relatada previamente por hackers éticos, mas ignorada, levando finalmente a um ataque de 334.000 dólares

robot
Geração do resumo em andamento

BlockBeats notícia, 29 de abril, o protocolo de cross-chain ZetaChain revelou que, em relação ao recente ataque de vulnerabilidade de aproximadamente 334 mil dólares, o problema de segurança envolvido foi relatado antecipadamente por pesquisadores no programa de recompensas por bugs, mas na época foi considerado como uma "ação prevista" pela equipe do projeto e não tratado.
De acordo com a revisão do incidente divulgada oficialmente, o ataque desta vez originou-se de uma combinação de três falhas de design que pareciam independentes e de baixo risco:

O contrato Gateway permite que qualquer pessoa envie comandos cross-chain arbitrários;
O lado receptor pode executar chamadas para quase qualquer contrato, e a restrição de lista negra é excessivamente restrita;
Algumas carteiras mantêm permissões ilimitadas (Unlimited Approval) por longos períodos sem serem limpas.

O atacante, por fim, combinou essas falhas para instruir o Gateway a transferir tokens diretamente para seu endereço de controle, realizando assim a transferência de ativos. A ZetaChain afirmou que, nesta vez, o ataque envolveu 9 transações nas quatro redes Ethereum, Arbitrum, Base e BSC, e os fundos roubados vieram de carteiras controladas pela ZetaChain, sem afetar os fundos dos usuários.

A equipe oficial afirmou que o ataque foi claramente premeditado. Três dias antes do crime, o atacante já havia financiado sua carteira via Tornado Cash, além de ter implantado previamente um contrato Drainer dedicado, e também realizou um ataque de contaminação de endereço (Address Poisoning).

Atualmente, a ZetaChain começou a enviar patches de correção para os nós principais da rede, desativou permanentemente a função de chamadas arbitrárias (arbitrary call), e alterou o mecanismo de permissões ilimitadas no processo de depósito para uma "autorização de limite preciso".

ZETA-0,75%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado