摘要:ZetaChain因网关合约中的任意调用功能遭黑客利用,导致四条链上九笔交易被篡改。攻击者通过伪装地址与预演验证实现精准打击,项目方八分钟后紧急冻结交易并启动修复流程。
币圈界报道:
ZetaChain跨链网关遭恶意利用:攻击路径与技术细节深度解析
本次安全事件的核心缺陷存在于ZetaChain网关合约的任意调用机制中。攻击者激活了该功能的权限标志,从而跳过跨链消息中对发送方身份的标准校验流程。系统客户端因此将来源地址置为空,使请求直接进入特定执行函数。该函数在外部调用时缺乏有效约束,仅设有有限的函数选择器黑名单,而关键的代币转账及授权操作未被纳入拦截范围。
伪造地址植入与多链协同执行策略
此次攻击展现出高度计划性。攻击者在行动前约72小时,借助匿名交易工具向主攻击钱包注入资金,以隐藏资金流动轨迹。同时,其通过大规模密钥暴力生成,构造出一个与目标钱包地址高度重合的虚假地址——二者在前十三位字符上完全一致。
该伪造地址被用于发起小额测试交易,诱导钱包界面展示相似地址片段,从而制造视觉混淆。此外,攻击者在ZetaChain网络部署专用资金调度合约,统一协调跨链调用逻辑。所有转移行为均成功执行,表明攻击前已全面验证各目标账户的授权状态与余额情况。
应急响应与长期防御机制升级
在检测到异常后,ZetaChain团队于八分钟内全面暂停所有跨链交易。当日即完成存款流程重构,取消无限授权模式,转为按每笔交易精确授予所需额度。同时,已开发并通过测试网验证的客户端补丁正逐步上线主网节点,永久关闭引发漏洞的任意调用路径。
所有确认的攻击地址已被列入应急响应黑名单,并提交至监管机构。被盗资产已统一归集至指定钱包。项目方亦启动对漏洞赏金计划的复审流程。事后披露显示,该问题曾被报告,但初判为协议设计特性而未予处理。此事件推动团队重新评估链间攻击链路的防御体系,并建议受影响用户使用授权检查工具主动撤销相关代币授权。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。