BlockBeats 消息,4 月 29 日,ZetaChain 於近日發布事後分析報告,確認 4 月 24 日的攻擊事件源於其跨鏈消息傳遞管道中的漏洞。攻擊者利用了三個相互關聯的問題:跨鏈系統允許發起「任意調用」且限制極少;接收端的 GatewayEVM 合約接受了包括「transferFrom」在內的大多數命令;此前用戶通過「GatewayEVM.deposit()」存入代幣時授予了未撤銷的無限制授權,攻擊者借此從錢包中提取了代幣。
此次攻擊共涉及以太坊、Arbitrum、Base 和 BSC 四條鏈上的 9 筆交易,總損失為 333,868 美元(主要為 USDC 和 USDT),僅影響三個內部團隊錢包,無用戶資金損失。ZetaChain 表示,攻擊者並非機會主義者,而是投入了大量時間和資源進行準備,包括在攻擊前三天通過 Tornado Cash 為錢包提供資金,並發動了暴力破解攻擊以模仿受害者地址。目前 ZetaChain 已部署補丁,跨鏈交易功能在完成升級和審查前將保持關閉。
12.7萬 熱度
25.89萬 熱度
487.7萬 熱度
6.8萬 熱度
105.6萬 熱度
ZetaChain公布事故分析:跨鏈消息傳遞漏洞導致33萬美元損失
BlockBeats 消息,4 月 29 日,ZetaChain 於近日發布事後分析報告,確認 4 月 24 日的攻擊事件源於其跨鏈消息傳遞管道中的漏洞。攻擊者利用了三個相互關聯的問題:跨鏈系統允許發起「任意調用」且限制極少;接收端的 GatewayEVM 合約接受了包括「transferFrom」在內的大多數命令;此前用戶通過「GatewayEVM.deposit()」存入代幣時授予了未撤銷的無限制授權,攻擊者借此從錢包中提取了代幣。
此次攻擊共涉及以太坊、Arbitrum、Base 和 BSC 四條鏈上的 9 筆交易,總損失為 333,868 美元(主要為 USDC 和 USDT),僅影響三個內部團隊錢包,無用戶資金損失。ZetaChain 表示,攻擊者並非機會主義者,而是投入了大量時間和資源進行準備,包括在攻擊前三天通過 Tornado Cash 為錢包提供資金,並發動了暴力破解攻擊以模仿受害者地址。目前 ZetaChain 已部署補丁,跨鏈交易功能在完成升級和審查前將保持關閉。