ЗетаЧейн виявлено вразливість, повідомлену білими хакерами, але ігноровану, що призвело до атаки на суму $334 000

29 квітня протокол міжланцюгових зв’язків ZetaChain повідомив, що питання безпеки, пов’язане з його недавньою атакою на вразливість приблизно на 334 000 доларів США, було заздалегідь повідомлено дослідником через програму винагороди за виявлення помилок, але команда проекту тоді відхилила його як «очікувану поведінку». За офіційним оглядом інциденту, атака виникла внаслідок поєднання трьох недоліків у дизайні, які спочатку здавалося, були незалежними і малоризикованими: контракт Gateway дозволяв будь-кому надсилати довільні міжланцюгові інструкції; отримуючий кінець міг виконувати виклики майже до будь-якого контракту з надто вузькими обмеженнями чорного списку; і деякі гаманці зберігали необмежені дозволи, які не були очищені. Зловмисник у кінцевому підсумку використав ці недоліки, щоб наказати Gateway безпосередньо переказати токени на адресу під їхнім контролем, завершивши передачу активів. ZetaChain заявив, що атака включала дев’ять транзакцій на чотирьох ланцюгах: Ethereum, Arbitrum, Base і BSC, при цьому всі вкрадені кошти походили з гаманців, контрольованих ZetaChain, і кошти користувачів залишилися незатронутими. Офіційний звіт вказав, що атака була явно спланованою заздалегідь. Зловмисник поповнив свій гаманець через Tornado Cash за три дні до атаки, заздалегідь розгорнув спеціальний контракт Drainer, а також здійснив атаку з отруєнням адреси. ZetaChain почав розгортати патч для вузлів основної мережі, назавжди відключивши функцію довільних викликів і змінивши механізм необмежених дозволів у процесі депозиту на «дозвіл точної суми».