ZetaChain 因跨链网关安全漏洞损失 33.4 万美元

目录 跨链协议因网关合约漏洞而损失 33.4 万美元 攻击利用了无限代币审批和任意函数调用 安全漏洞影响了四个区块链网络的内部团队钱包 平台实施紧急补丁并暂停跨链操作 安全事件期间没有用户资金受到损害 ZetaChain 上的安全漏洞导致其跨链网关基础设施中的漏洞导致约 334,000 美元被盗。该攻击使用复杂的多链方法专门针对内部团队钱包。平台运营商的回应是立即暂停服务并实施安全补丁。根据ZetaChain官方声明，安全漏洞集中在GatewayEVM合约上，该合约管理跨链消息传递和代币传输。恶意行为者利用设计缺陷执行未经授权的提款。此次盗窃事件涉及四个区块链网络：以太坊、Arbitrum、Base 和 BSC。该平台透露，攻击者利用了消息基础设施内的多个安全漏洞。网关系统允许连接的区块链之间不受限制的功能调用。这种架构上的弱点允许在没有适当保护措施的情况下远程激活关键合约功能。技术分析显示，接收者合约处理多种命令类型，包括直接代币移动操作。验证机制不足，未能阻止恶意指令。攻击者利用这些宽松的限制从受损地址中窃取资金。该漏洞利用机制在很大程度上依赖于授予网关智能合约的预先存在的无限代币批准。这些权限是在早期的存款交易中建立的，并且从未被撤销。攻击者利用 TransferFrom 函数从具有活跃配额的钱包中提取 ERC-20 代币。平台代表强调，此次安全事件仅影响团队控制下的三个钱包。在整个攻击过程中，最终用户的存款和持有的资产仍然完全安全。此次泄露凸显了与永久令牌权限授予相关的重大风险。有趣的是，安全研究人员此前已通过该平台的错误赏金计划标记了此漏洞。然而，该提交被驳回是因为预期的功能而不是严重缺陷。在实际利用过程中，当与其他系统弱点结合起来时，这种分类错误就成为了一个促成因素。在检测到未经授权的交易后，ZetaChain 立即停止了所有跨链功能。工程师快速开发并部署修复代码，消除任意调用功能。服务仍处于暂停状态，等待全面的安全审核和系统增强。更新后的架构用特定于交易的权限模型取代了全面的令牌批准。此修改极大地限制了未来操作中的潜在攻击向量。平台管理员敦促所有用户撤销与网关基础设施相关的未偿津贴。调查显示，肇事者的袭击准备十分周密。最初的资金来自 Tornado Cash 隐私协议，而地址投毒策略则造成了混乱。被盗资产立即转换为 ETH，使追踪工作变得更加复杂。这一事件加剧了人们对去中心化金融生态系统中智能合约安全性的日益担忧。行业数据表明，近几个月针对架构漏洞的攻击频率不断增加。 ZetaChain 宣布对错误赏金程序和整体安全协议进行全面审查。