BlockBeats 消息,4 月 29 日,ZetaChain 于近日发布事后分析报告,确认 4 月 24 日的攻击事件源于其跨链消息传递管道中的漏洞。攻击者利用了三个相互关联的问题:跨链系统允许发起「任意调用」且限制极少;接收端的 GatewayEVM 合约接受了包括「transferFrom」在内的大多数命令;此前用户通过「GatewayEVM.deposit()」存入代币时授予了未撤销的无限制授权,攻击者借此从钱包中提取了代币。此次攻击共涉及以太坊、Arbitrum、Base 和 BSC 四条链上的 9 笔交易,总损失为 333,868 美元(主要为 USDC 和 USDT),仅影响三个内部团队钱包,无用户资金损失。ZetaChain 表示,攻击者并非机会主义者,而是投入了大量时间和资源进行准备,包括在攻击前三天通过 Tornado Cash 为钱包提供资金,并发动了暴力破解攻击以模仿受害者地址。目前 ZetaChain 已部署补丁,跨链交易功能在完成升级和审查前将保持关闭。
