ZetaChain تخسر 334 ألف دولار في اختراق أمني للبوابة عبر السلسلة

جدول المحتويات يخسر البروتوكول عبر السلسلة 334 ألف دولار من خلال ثغرة أمنية في عقد البوابة، ويستغل الهجوم الموافقات الرمزية غير المحدودة ومكالمات الوظائف التعسفية، ويؤثر الخرق الأمني ​​على محافظ الفريق الداخلية عبر أربع شبكات blockchain. تنفذ المنصة تصحيح الطوارئ وتوقف العمليات عبر السلسلة مؤقتًا، ولم يتم اختراق أموال المستخدم أثناء الحادث الأمني، أدى الاختراق الأمني ​​على ZetaChain إلى سرقة ما يقرب من 334000 دولار من خلال نقاط الضعف في البنية التحتية للبوابة عبر السلسلة. استهدف الهجوم على وجه التحديد محافظ الفريق الداخلية باستخدام نهج متطور متعدد السلاسل. استجاب مشغلو المنصة من خلال تعليق الخدمات على الفور وتنفيذ تصحيحات الأمان. وفقًا للبيان الرسمي لشركة ZetaChain، تركز الاختراق الأمني ​​على عقد GatewayEVM، الذي يدير تمرير الرسائل عبر السلسلة وعمليات نقل الرمز المميز. استغلت الجهات الفاعلة الخبيثة عيوب التصميم لتنفيذ عمليات سحب غير مصرح بها. امتدت السرقة إلى أربع شبكات blockchain: Ethereum وArbitrum وBase وBSC. وكشفت المنصة أن المهاجمين استغلوا العديد من الثغرات الأمنية داخل البنية التحتية للمراسلة. يسمح نظام البوابة باستدعاءات وظيفية غير مقيدة بين سلاسل الكتل المتصلة. سمح هذا الضعف المعماري بتنشيط وظائف العقد المهمة عن بعد دون ضمانات مناسبة. كشف التحليل الفني أن العقد المستلم يعالج أنواعًا متنوعة من الأوامر، بما في ذلك عمليات حركة الرمز المباشر. فشلت آليات التحقق غير الكافية في منع التعليمات الضارة. استفاد المهاجمون من هذه القيود الفضفاضة لسحب الأموال من العناوين المخترقة. اعتمدت آلية الاستغلال بشكل كبير على الموافقات الرمزية غير المحدودة الموجودة مسبقًا والممنوحة للعقد الذكي للبوابة. تم إنشاء هذه الأذونات أثناء معاملات الإيداع السابقة ولم يتم إلغاؤها مطلقًا. استخدم المهاجمون وظائف TransferFrom لاستخراج رموز ERC-20 من المحافظ ذات السماحات النشطة. وأكد ممثلو المنصة أن الحادث الأمني ​​أثر حصريًا على ثلاث محافظ تحت سيطرة الفريق. وظلت ودائع وممتلكات المستخدم النهائي آمنة تمامًا طوال فترة الهجوم. سلط الاختراق الضوء على المخاطر الكبيرة المرتبطة بمنح إذن الرمز المميز الدائم. ومن المثير للاهتمام أن الباحثين الأمنيين سبق أن أشاروا إلى هذه الثغرة الأمنية من خلال مبادرة مكافأة الأخطاء الخاصة بالمنصة. ومع ذلك، تم رفض التقديم باعتباره وظيفة مقصودة وليس عيبًا خطيرًا. أصبح خطأ التصنيف هذا عاملاً مساهماً عند دمجه مع نقاط ضعف أخرى في النظام أثناء الاستغلال الفعلي. عند اكتشاف المعاملات غير المصرح بها، أوقفت ZetaChain على الفور جميع الوظائف عبر السلسلة. قام المهندسون بتطوير ونشر تعليمات برمجية للمعالجة بسرعة مما أدى إلى إلغاء ميزة الاتصال العشوائي. تظل الخدمات معلقة في انتظار عمليات التدقيق الأمني ​​الشاملة وتحسينات النظام. تستبدل البنية المحدثة الموافقات الرمزية الشاملة بنماذج الأذونات الخاصة بالمعاملة. يحد هذا التعديل بشكل كبير من نواقل الهجوم المحتملة في العمليات المستقبلية. وحث مسؤولو النظام الأساسي جميع المستخدمين على إلغاء البدلات المعلقة المرتبطة بالبنية التحتية للبوابة. وكشفت التحقيقات عن إعداد متطور للهجوم من قبل الجناة. جاء التمويل الأولي من خلال بروتوكول خصوصية Tornado Cash، في حين أدت أساليب تسميم العناوين إلى حدوث ارتباك. تم تحويل الأصول المسروقة على الفور إلى إيثريوم، مما أدى إلى تعقيد جهود التتبع. يضيف هذا الحادث إلى المخاوف المتزايدة بشأن أمان العقود الذكية عبر النظم الإيكولوجية المالية اللامركزية. تشير بيانات الصناعة إلى زيادة وتيرة عمليات استغلال الثغرات التي تستهدف نقاط الضعف المعمارية في الأشهر الأخيرة. أعلنت ZetaChain عن مراجعات شاملة لكل من إجراءات مكافأة الأخطاء وبروتوكولات الأمان الشاملة.