摘要:ZetaChain网关合约因任意调用功能遭黑客利用,通过伪装地址与多链协同攻击,成功转移九笔资金。项目方八分钟后紧急暂停交易并修复授权机制,建议用户及时撤销授权。
币圈界报道:
ZetaChain网关漏洞被恶意利用:跨链转账绕过验证机制
本次安全事件的根源在于ZetaChain网关合约中启用的任意调用功能。攻击者激活该标志后,使系统跳过常规发送方身份校验,导致客户端将来源地址设为空。这一异常状态触发了特定执行路径,而该路径对外部调用几乎无限制,仅依赖一个有限的函数选择器黑名单,关键的代币转移与授权操作未被纳入拦截范围。
伪造地址植入+跨链协同:攻击策略高度定制化
此次行动并非随机攻击。攻击者在实施前约72小时,借助隐私交易工具为攻击钱包注入资金,以隐藏其资金流向。同时,通过大规模密钥枚举生成一个与目标钱包地址高度相似的假地址,二者在前十三位字符上完全一致。
该伪造地址被用于向真实账户发起小额交易,利用钱包界面通常仅显示部分地址的特性,制造出相似历史记录的假象。此外,攻击者在ZetaChain上部署专用资金调度合约,统一协调跨链调用流程。所有尝试均顺利完成,表明其在事前已全面验证各目标的授权权限与余额状况。
响应迅速但教训深刻:项目方启动全面整改
ZetaChain在发现异常后8分钟内立即冻结全部跨链操作。当日即调整存款流程,取消无限授权模式,改为核心交易额度精准审批。同时,已完成测试网验证的客户端补丁正在逐步推送到主网节点,永久关闭引发漏洞的任意调用逻辑路径。
所有已确认的攻击地址已通过应急响应网络标记,并提交执法部门。被盗资产已被整合至统一托管钱包。项目方承认此前已有漏洞报告,但初期误判为协议设计行为而未处理。此次事件促使团队重新评估漏洞赏金机制,并对链上攻击链路管理流程展开全面审查。建议曾与网关交互的用户使用授权检查工具,及时撤销不必要的代币授权。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。