ZetaChain verliert 334.000 US-Dollar durch Sicherheitsverstoß gegen Cross-Chain-Gateways

Inhaltsverzeichnis: Cross-Chain-Protokoll verliert 334.000 US-Dollar durch Sicherheitslücke im Gateway-Vertrag. Angriff nutzte unbegrenzte Token-Genehmigungen und willkürliche Funktionsaufrufe aus. Sicherheitsverstoß betraf interne Team-Wallets in vier Blockchain-Netzwerken. Plattform implementiert Notfall-Patch und pausiert kettenübergreifende Vorgänge. Während des Sicherheitsvorfalls wurden keine Benutzergelder kompromittiert. Eine Sicherheitsverletzung bei ZetaChain führte durch Schwachstellen in der kettenübergreifenden Gateway-Infrastruktur zum Diebstahl von etwa 334.000 US-Dollar. Der Angriff zielte mithilfe eines ausgeklügelten Multi-Chain-Ansatzes speziell auf interne Team-Wallets ab. Plattformbetreiber reagierten mit der sofortigen Einstellung ihrer Dienste und der Implementierung von Sicherheitspatches. Laut der offiziellen Erklärung von ZetaChain konzentrierte sich die Sicherheitsverletzung auf den GatewayEVM-Vertrag, der die kettenübergreifende Nachrichtenweitergabe und Token-Übertragung verwaltet. Böswillige Akteure nutzten Designfehler aus, um unautorisierte Abhebungen durchzuführen. Der Diebstahl erstreckte sich über vier Blockchain-Netzwerke: Ethereum, Arbitrum, Base und BSC. Die Plattform gab bekannt, dass Angreifer mehrere Sicherheitslücken in der Messaging-Infrastruktur ausnutzten. Das Gateway-System ermöglichte uneingeschränkte Funktionsaufrufe zwischen verbundenen Blockchains. Diese architektonische Schwäche ermöglichte die Fernaktivierung kritischer Vertragsfunktionen ohne angemessene Sicherheitsmaßnahmen. Die technische Analyse ergab, dass der Empfängervertrag verschiedene Befehlstypen verarbeitete, einschließlich direkter Token-Bewegungsvorgänge. Unzureichende Validierungsmechanismen konnten böswillige Anweisungen nicht verhindern. Angreifer machten sich diese lockeren Beschränkungen zunutze, um Gelder von kompromittierten Adressen abzuschöpfen. Der Exploit-Mechanismus stützte sich stark auf bereits bestehende unbegrenzte Token-Genehmigungen, die dem Gateway-Smart-Vertrag erteilt wurden. Diese Berechtigungen wurden bei früheren Einzahlungstransaktionen erteilt und nie widerrufen. Angreifer nutzten transferFrom-Funktionen, um ERC-20-Tokens aus Wallets mit aktiven Zertifikaten zu extrahieren. Vertreter der Plattform betonten, dass der Sicherheitsvorfall ausschließlich drei Wallets betraf, die unter der Kontrolle des Teams standen. Die Einlagen und Bestände der Endbenutzer blieben während des gesamten Angriffs vollständig sicher. Der Verstoß zeigte erhebliche Risiken auf, die mit der Gewährung dauerhafter Token-Berechtigungen verbunden sind. Interessanterweise hatten Sicherheitsforscher diese Schwachstelle zuvor im Rahmen der Bug-Bounty-Initiative der Plattform gemeldet. Der Einwand wurde jedoch als beabsichtigte Funktionalität und nicht als kritischer Fehler abgetan. Dieser Klassifizierungsfehler wurde in Kombination mit anderen Systemschwächen während des eigentlichen Exploits zu einem beitragenden Faktor. Als ZetaChain die nicht autorisierten Transaktionen erkannte, stoppte es sofort alle kettenübergreifenden Funktionen. Ingenieure entwickelten und implementierten schnell einen Korrekturcode, der die Funktion für willkürliche Anrufe beseitigte. Die Dienste bleiben bis zu umfassenden Sicherheitsüberprüfungen und Systemverbesserungen ausgesetzt. Die aktualisierte Architektur ersetzt pauschale Token-Genehmigungen durch transaktionsspezifische Berechtigungsmodelle. Diese Änderung schränkt potenzielle Angriffsvektoren in zukünftigen Operationen erheblich ein. Plattformadministratoren forderten alle Benutzer auf, ausstehende Berechtigungen im Zusammenhang mit der Gateway-Infrastruktur zu widerrufen. Die Ermittlungen ergaben eine ausgeklügelte Angriffsvorbereitung der Täter. Die anfängliche Finanzierung erfolgte über das Datenschutzprotokoll von Tornado Cash, während Taktiken zur Adressvergiftung für Verwirrung sorgten. Gestohlene Vermögenswerte wurden sofort in ETH umgewandelt, was die Nachverfolgung erschwerte. Dieser Vorfall verstärkt die wachsende Besorgnis über die Sicherheit intelligenter Verträge in dezentralen Finanzökosystemen. Branchendaten deuten darauf hin, dass es in den letzten Monaten immer häufiger zu Exploits kommt, die auf Architekturschwachstellen abzielen. ZetaChain kündigte umfassende Überprüfungen sowohl der Bug-Bounty-Verfahren als auch der allgemeinen Sicherheitsprotokolle an.