ZetaChain 被白帽报告的漏洞被忽视，导致 33.4 万美元的攻击

在4月29日，跨链协议ZetaChain披露，其近期约334,000美元漏洞攻击中涉及的安全问题，已被一名研究员通过其漏洞奖励计划提前报告，但当时被项目团队以“预期行为”驳回。根据官方事件复盘，攻击源于三个最初看似相互独立且风险较低的设计缺陷的叠加：Gateway合约允许任何人发送任意跨链指令；接收端几乎可以对任何合约执行调用，且黑名单限制过于狭窄；此外，部分钱包保留了未清除的无限授权。攻击者最终利用这些缺陷，指示Gateway将代币直接转移到其控制的地址，从而完成资产转移。ZetaChain表示，此次攻击涉及4条链上的9笔交易：以太坊（Ethereum）、Arbitrum、Base和BSC，被盗资金均来自由ZetaChain控制的钱包，用户资金不受影响。官方报告指出，此次攻击显然是预谋的。攻击者在攻击前3天通过Tornado Cash为其钱包充值，事先部署了专用的Drainer合约，并还实施了地址投毒（address poisoning）攻击。ZetaChain已开始向主网节点推送补丁，永久禁用任意调用功能，并将存款流程中的无限授权机制更改为“精确金额授权”。