ZetaChain漏洞曾被白帽提前報告但遭忽視,最終導致33.4萬美元攻擊事件

robot
摘要生成中
BlockBeats 消息,4 月 29 日,跨链协议 ZetaChain 披露,其近期约 33.4 萬美元漏洞攻擊事件所涉及的安全問題,曾在漏洞賞金計劃中被研究員提前報告,但當時被項目方視為「預期行為」而未處理。根據官方發布的事故復盤,本次攻擊源於三個原本看似獨立、風險較低的設計缺陷組合:

Gateway 合約允許任何人發送任意跨鏈指令;
接收端幾乎可對任意合約執行調用,且黑名單限制過於狹窄;
部分錢包長期保留無限授權(Unlimited Approval)未被清理。

攻擊者最終通過組合這些缺陷,指示 Gateway 將代幣直接轉入其控制地址,從而完成資產轉移。ZetaChain 表示,此次攻擊共涉及 Ethereum、Arbitrum、Base 與 BSC 四條鏈上的 9 筆交易,被盜資金均來自 ZetaChain 控制的錢包,用戶資金未受影響。



官方稱,該攻擊具有明顯預謀性。攻擊者在作案前三天便通過 Tornado Cash 為錢包注資,並提前部署專用 Drainer 合約,同時還實施了地址污染(Address Poisoning)攻擊。

目前,ZetaChain 已開始向主網節點推送修復補丁,永久禁用任意調用(arbitrary call)功能,並將存款流程中的無限授權機制改為「精確額度授權」。
ZETA-0.75%
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 打賞
  • 回覆
  • 轉發
  • 分享
回覆
請輸入回覆內容
請輸入回覆內容
暫無回覆