Layer 1 网络 ZetaChain 表示,4 月 24 日攻击针对其跨链消息管道漏洞,攻击者利用跨链消息系统中的三个问题,从三个内部团队钱包中盗取 333,868 美元,主要为 USDC 和 USDT,涉及 Ethereum、Arbitrum、Base 和 BSC 四条链上的 9 笔交易,未造成用户资金损失。ZetaChain 称,攻击者利用任意调用限制不足、GatewayEVM 合约接收包括 transferFrom 在内的大多数命令,以及此前通过 GatewayEVM.deposit() 存入代币的用户授予无限授权且未撤销等漏洞实施攻击;该攻击并非机会性攻击,攻击者在执行前投入大量时间和资源准备。ZetaChain 表示已在主网部署补丁,跨链交易功能仍暂停,将在升级和额外审查完成后重新启用,并建议曾与 ZetaChain gateway 合约交互的用户撤销相关 ERC-20 授权。(The Block)
