币圈界报道：

跨链网关重大安全漏洞引发多链资金外流

近期，多个区块链网络遭遇跨链协议的严重安全事件，核心问题源于网关合约中存在的长期未修复漏洞。攻击者通过滥用无限代币授权与任意函数调用权限，在以太坊、Arbitrum、Base及BSC等四个主网上实施了未经授权的资金转移。尽管系统已迅速响应，但此次事件暴露了跨链基础设施在权限管理上的深层缺陷。

多链架构中的消息传递系统遭恶意利用

官方披露，攻击源头为负责跨链通信的GatewayEVM合约。该组件允许不同区块链间进行无限制的指令执行，其设计中缺乏对调用来源与内容的严格校验机制。攻击者正是借助这一开放接口，远程触发了本应受控的提款流程。

技术分析显示，接收端合约可处理包括直接代币转账在内的多种操作类型，而验证逻辑薄弱导致恶意指令得以绕过防护。这种宽松的交互规则使得攻击者能够从被攻陷的钱包中提取资产，形成链上资金外逃。

永久性授权机制加剧资产风险敞口

此次攻击的关键因素在于，部分内部钱包在初始存款时即授予了网关合约无限期的代币使用权限，且从未主动撤销。攻击者通过调用transferFrom方法，合法地从这些高权限账户中批量提走ERC-20代币。

平台明确指出，受影响的仅是团队持有的三个运营钱包，所有用户资产在整个过程中均未受到波及。此事件再次凸显了永久性授权模式在去中心化系统中的巨大隐患。

值得注意的是，该漏洞早在攻击前已被安全研究员通过赏金计划上报，但被误判为“预期行为”而非严重缺陷，未能及时跟进。这一评估偏差在实际攻击中与其他系统弱点叠加，成为致命突破口。

快速封堵漏洞并推动安全体系升级

在发现异常交易后，平台立即叫停所有跨链服务，并由核心开发团队紧急部署补丁，移除了原系统的任意函数调用能力。在完成新一轮审计和加固之前，相关功能将持续处于停用状态。

未来版本将采用基于具体交易的精细化权限模型，取代原有的全量授权机制，从根本上压缩潜在攻击面。平台同时呼吁所有用户审查并撤销与网关相关的非必要授权。

调查显示，攻击者提前通过隐私协议获取初始资金，并采取地址投毒策略制造混淆。被盗资产迅速兑换为ETH，显著提升追踪难度。此次事件反映出攻击组织具备高度策划能力。

随着此类针对协议架构的攻击频次上升，整个去中心化金融生态正面临更严峻的安全挑战。平台宣布将重新评估漏洞赏金机制，并强化整体安全治理流程，以应对不断演进的威胁环境。