ZetaChain теряет 334 тысячи долларов из-за нарушения безопасности межсетевого шлюза

Межсетевой протокол теряет 334 тысячи долларов из-за уязвимости контракта шлюза. Атака использовала неограниченное количество утверждений токенов и произвольные вызовы функций. Нарушение безопасности затронуло внутренние командные кошельки в четырех блокчейн-сетях. Платформа внедряет экстренное исправление и приостанавливает межсетевые операции. Во время инцидента безопасности средства пользователя не были скомпрометированы. Нарушение безопасности на ZetaChain привело к краже примерно 334 000 долларов США из-за уязвимостей в инфраструктуре межсетевого шлюза. Атака была специально нацелена на внутренние кошельки команд с использованием сложного многоцепочного подхода. Операторы платформы отреагировали немедленной приостановкой оказания услуг и установкой обновлений безопасности. Согласно официальному заявлению ZetaChain, нарушение безопасности было сосредоточено на контракте GatewayEVM, который управляет межсетевой передачей сообщений и передачей токенов. Злоумышленники воспользовались недостатками конструкции для несанкционированного вывода средств. Кража охватила четыре сети блокчейнов: Ethereum, Arbitrum, Base и BSC. Платформа сообщила, что злоумышленники использовали многочисленные бреши в безопасности в инфраструктуре обмена сообщениями. Система шлюзов разрешала неограниченные вызовы функций между подключенными блокчейнами. Эта архитектурная слабость позволяла удаленно активировать критически важные функции контракта без надлежащих мер безопасности. Технический анализ показал, что контракт получателя обрабатывал различные типы команд, включая операции прямого перемещения токенов. Недостаточные механизмы проверки не смогли предотвратить вредоносные инструкции. Злоумышленники воспользовались этими слабыми ограничениями, чтобы выкачать средства со скомпрометированных адресов. Механизм эксплойта в значительной степени полагался на ранее существовавшие неограниченные разрешения токенов, предоставленные смарт-контракту шлюза. Эти разрешения были установлены во время предыдущих депозитных операций и никогда не отменялись. Злоумышленники использовали функции TransferFrom для извлечения токенов ERC-20 из кошельков с активными разрешениями. Представители платформы подчеркнули, что инцидент безопасности затронул исключительно три кошелька, находящихся под контролем команды. Депозиты и средства конечных пользователей оставались в полной безопасности на протяжении всей атаки. Нарушение выявило значительные риски, связанные с предоставлением постоянных разрешений на токены. Интересно, что исследователи безопасности ранее отмечали эту уязвимость в рамках инициативы платформы по вознаграждению за ошибки. Однако это предложение было отклонено как предполагаемая функциональность, а не как критический недостаток. Эта ошибка классификации стала способствующим фактором в сочетании с другими недостатками системы во время фактического эксплойта. Обнаружив несанкционированные транзакции, ZetaChain немедленно остановила все функции кроссчейна. Инженеры быстро разработали и внедрили код исправления, устраняющий функцию произвольного вызова. Услуги остаются приостановленными в ожидании комплексного аудита безопасности и усовершенствований системы. Обновленная архитектура заменяет общие утверждения токенов моделями разрешений для конкретных транзакций. Эта модификация существенно ограничивает потенциальные векторы атак в будущих операциях. Администраторы платформы призвали всех пользователей отозвать непогашенные разрешения, связанные с инфраструктурой шлюзов. Расследование выявило тщательно продуманную подготовку нападения злоумышленниками. Первоначальное финансирование осуществлялось через протокол конфиденциальности Tornado Cash, а тактика отравления адресов создавала путаницу. Украденные активы были немедленно конвертированы в ETH, что усложнило отслеживание. Этот инцидент усиливает обеспокоенность по поводу безопасности смарт-контрактов в децентрализованных финансовых экосистемах. Отраслевые данные указывают на рост частоты эксплойтов, нацеленных на архитектурные уязвимости, в последние месяцы. ZetaChain объявила о всесторонних проверках как процедур поиска ошибок, так и общих протоколов безопасности.