Báo cáo lỗ hổng của ZetaChain bị báo bởi White Hat nhưng bị bỏ qua, dẫn đến cuộc tấn công trị giá 334.000 đô la

Vào ngày 29 tháng 4, giao thức chuỗi chéo ZetaChain tiết lộ rằng vấn đề bảo mật liên quan đến cuộc tấn công khai thác lỗ hổng khoảng 334.000 đô la gần đây đã được một nhà nghiên cứu báo cáo trước thông qua chương trình thưởng lỗi của họ, nhưng đã bị nhóm dự án bỏ qua với lý do là ‘hành vi dự kiến’ vào thời điểm đó. Theo đánh giá chính thức về sự cố, cuộc tấn công bắt nguồn từ sự kết hợp của ba lỗi thiết kế ban đầu dường như độc lập và có rủi ro thấp: hợp đồng Gateway cho phép bất kỳ ai gửi hướng dẫn chuỗi chéo tùy ý; phía nhận có thể thực thi các cuộc gọi trên hầu hết mọi hợp đồng, với hạn chế danh sách đen quá hẹp; và một số ví giữ quyền phê duyệt không giới hạn mà không được xóa bỏ. Kẻ tấn công cuối cùng đã khai thác các lỗi này để chỉ đạo Gateway chuyển token trực tiếp đến một địa chỉ do chúng kiểm soát, hoàn tất việc chuyển tài sản. ZetaChain cho biết cuộc tấn công liên quan đến chín giao dịch trên bốn chuỗi: Ethereum, Arbitrum, Base và BSC, với toàn bộ số tiền bị đánh cắp đều xuất phát từ các ví do ZetaChain kiểm soát, và quỹ người dùng không bị ảnh hưởng. Báo cáo chính thức cho biết rằng cuộc tấn công rõ ràng đã được lên kế hoạch từ trước. Kẻ tấn công đã tài trợ ví của họ qua Tornado Cash ba ngày trước cuộc tấn công, triển khai sẵn một hợp đồng Drainer riêng biệt, và cũng thực hiện một cuộc tấn công nhiễm độc địa chỉ. ZetaChain đã bắt đầu phát hành bản vá cho các nút mainnet, vô hiệu hóa vĩnh viễn tính năng gọi tùy ý và thay đổi cơ chế phê duyệt không giới hạn trong quá trình gửi tiền thành ‘ủy quyền chính xác số lượng.’