ZetaChain pierde $ 334 mil en violación de seguridad de puerta de enlace entre cadenas

Tabla de contenido El protocolo entre cadenas pierde $334,000 a través de la vulnerabilidad del contrato de la puerta de enlace El ataque explotó aprobaciones ilimitadas de tokens y llamadas de funciones arbitrarias La violación de seguridad afectó las billeteras internas del equipo en cuatro redes blockchain La plataforma implementa un parche de emergencia y pausa las operaciones entre cadenas No se comprometieron los fondos de los usuarios durante el incidente de seguridad Una violación de seguridad en ZetaChain resultó en el robo de aproximadamente $334,000 a través de vulnerabilidades en su infraestructura de puerta de enlace entre cadenas. El ataque se dirigió específicamente a las billeteras internas del equipo utilizando un sofisticado enfoque de múltiples cadenas. Los operadores de plataformas respondieron suspendiendo inmediatamente los servicios e implementando parches de seguridad. Según la declaración oficial de ZetaChain, la violación de seguridad se centró en el contrato GatewayEVM, que gestiona el paso de mensajes entre cadenas y las transferencias de tokens. Los actores maliciosos explotaron fallas de diseño para ejecutar retiros no autorizados. El robo abarcó cuatro redes blockchain: Ethereum, Arbitrum, Base y BSC. La plataforma reveló que los atacantes aprovecharon múltiples brechas de seguridad dentro de la infraestructura de mensajería. El sistema de puerta de enlace permitía llamadas a funciones sin restricciones entre cadenas de bloques conectadas. Esta debilidad arquitectónica permitió la activación remota de funciones contractuales críticas sin las salvaguardias adecuadas. El análisis técnico reveló que el contrato del destinatario procesó diversos tipos de comandos, incluidas operaciones de movimiento directo de tokens. Los mecanismos de validación insuficientes no lograron evitar instrucciones maliciosas. Los atacantes aprovecharon estas restricciones laxas para desviar fondos de direcciones comprometidas. El mecanismo de explotación dependía en gran medida de aprobaciones de tokens ilimitadas preexistentes otorgadas al contrato inteligente de la puerta de enlace. Estos permisos se establecieron durante transacciones de depósito anteriores y nunca se revocaron. Los atacantes utilizaron funciones transferFrom para extraer tokens ERC-20 de billeteras con asignaciones activas. Los representantes de la plataforma enfatizaron que el incidente de seguridad afectó exclusivamente a tres billeteras bajo el control del equipo. Los depósitos y tenencias de los usuarios finales permanecieron completamente seguros durante todo el ataque. La infracción puso de relieve riesgos importantes asociados con la concesión de permisos de tokens permanentes. Curiosamente, los investigadores de seguridad habían señalado previamente esta vulnerabilidad a través de la iniciativa de recompensa por errores de la plataforma. Sin embargo, la presentación fue descartada por considerarla una funcionalidad prevista y no un defecto crítico. Este error de clasificación se convirtió en un factor contribuyente cuando se combinó con otras debilidades del sistema durante el exploit real. Al detectar transacciones no autorizadas, ZetaChain detuvo inmediatamente toda la funcionalidad entre cadenas. Los ingenieros desarrollaron e implementaron rápidamente un código de corrección que eliminaba la función de llamada arbitraria. Los servicios permanecen suspendidos en espera de auditorías de seguridad integrales y mejoras del sistema. La arquitectura actualizada reemplaza las aprobaciones generales de tokens con modelos de permisos específicos de transacciones. Esta modificación limita significativamente los posibles vectores de ataque en operaciones futuras. Los administradores de la plataforma instaron a todos los usuarios a revocar las asignaciones pendientes asociadas con la infraestructura de la puerta de enlace. La investigación reveló una sofisticada preparación del ataque por parte de los perpetradores. La financiación inicial provino a través del protocolo de privacidad Tornado Cash, mientras que las tácticas de envenenamiento de direcciones crearon confusión. Los activos robados se convirtieron inmediatamente a ETH, lo que complicó los esfuerzos de seguimiento. Este incidente se suma a las crecientes preocupaciones sobre la seguridad de los contratos inteligentes en los ecosistemas financieros descentralizados. Los datos de la industria indican una frecuencia cada vez mayor de exploits dirigidos a vulnerabilidades arquitectónicas en los últimos meses. ZetaChain anunció revisiones exhaustivas tanto de los procedimientos de recompensa por errores como de los protocolos de seguridad generales.