ZetaChain perd 334 000 $ en raison d'une violation de la sécurité de la passerelle inter-chaînes

Table des matières Le protocole inter-chaînes perd 334 000 $ en raison de la vulnérabilité du contrat de passerelle L'attaque a exploité des approbations illimitées de jetons et des appels de fonctions arbitraires. Une faille de sécurité a affecté les portefeuilles internes des équipes sur quatre réseaux blockchain. La plate-forme met en œuvre un correctif d'urgence et suspend les opérations inter-chaînes. Aucun fonds d'utilisateur n'a été compromis lors de l'incident de sécurité. Une faille de sécurité sur ZetaChain a entraîné le vol d'environ 334 000 $ en raison de vulnérabilités dans son infrastructure de passerelle inter-chaînes. L’attaque ciblait spécifiquement les portefeuilles internes des équipes en utilisant une approche multi-chaînes sophistiquée. Les opérateurs de plateforme ont réagi en suspendant immédiatement les services et en mettant en œuvre des correctifs de sécurité. Selon la déclaration officielle de ZetaChain, la faille de sécurité était centrée sur le contrat GatewayEVM, qui gère la transmission de messages entre chaînes et les transferts de jetons. Des acteurs malveillants ont exploité des défauts de conception pour effectuer des retraits non autorisés. Le vol s'est étendu à quatre réseaux blockchain : Ethereum, Arbitrum, Base et BSC. La plateforme a révélé que les attaquants ont exploité plusieurs failles de sécurité au sein de l’infrastructure de messagerie. Le système de passerelle permettait des appels de fonctions sans restriction entre les blockchains connectées. Cette faiblesse architecturale a permis l’activation à distance de fonctions contractuelles critiques sans garanties appropriées. L'analyse technique a révélé que le contrat du destinataire traitait divers types de commandes, y compris les opérations de mouvement direct des jetons. Des mécanismes de validation insuffisants n'ont pas réussi à empêcher les instructions malveillantes. Les attaquants ont profité de ces restrictions souples pour siphonner les fonds des adresses compromises. Le mécanisme d'exploitation s'appuyait fortement sur les approbations de jetons illimitées préexistantes accordées au contrat intelligent de passerelle. Ces autorisations avaient été établies lors de transactions de dépôt antérieures et n'avaient jamais été révoquées. Les attaquants ont utilisé les fonctions transferFrom pour extraire les jetons ERC-20 des portefeuilles avec des allocations actives. Les représentants de la plateforme ont souligné que l'incident de sécurité affectait exclusivement trois portefeuilles sous le contrôle de l'équipe. Les dépôts et avoirs des utilisateurs finaux sont restés totalement sécurisés tout au long de l’attaque. La violation a mis en évidence des risques importants associés à l’octroi d’autorisations permanentes de jetons. Il est intéressant de noter que les chercheurs en sécurité avaient déjà signalé cette vulnérabilité grâce à l’initiative de bug bounty de la plateforme. Cependant, la soumission a été rejetée en raison d'une fonctionnalité prévue plutôt que d'un défaut critique. Cette erreur de classification est devenue un facteur contributif lorsqu'elle est combinée à d'autres faiblesses du système lors de l'exploit lui-même. Après avoir détecté les transactions non autorisées, ZetaChain a immédiatement arrêté toutes les fonctionnalités inter-chaînes. Les ingénieurs ont rapidement développé et déployé un code de correction éliminant la fonctionnalité d’appel arbitraire. Les services restent suspendus en attendant des audits de sécurité complets et des améliorations du système. L'architecture mise à jour remplace les approbations générales de jetons par des modèles d'autorisation spécifiques aux transactions. Cette modification limite considérablement les vecteurs d’attaque potentiels lors des opérations futures. Les administrateurs de la plate-forme ont exhorté tous les utilisateurs à révoquer les allocations impayées associées à l'infrastructure de la passerelle. L’enquête a révélé une préparation sophistiquée de la part des auteurs. Le financement initial provenait du protocole de confidentialité de Tornado Cash, tandis que les tactiques d'empoisonnement des adresses ont créé la confusion. Les actifs volés ont été immédiatement convertis en ETH, compliquant les efforts de suivi. Cet incident s’ajoute aux inquiétudes croissantes concernant la sécurité des contrats intelligents dans les écosystèmes financiers décentralisés. Les données du secteur indiquent une fréquence croissante d'exploits ciblant les vulnérabilités architecturales au cours des derniers mois. ZetaChain a annoncé des examens complets des procédures de bug bounty et des protocoles de sécurité globaux.