摘要:ZetaChain披露其近期遭攻击事件源于三个独立漏洞的组合利用,尽管其中部分问题曾通过漏洞赏金计划上报但被误判为正常行为。平台已启动内部审查并部署补丁,强化跨链交易风控机制。
币圈界报道:
ZetaChain承认多漏洞串联致跨链攻击,系统已紧急修复
针对本周日发生的跨链资产转移事件,ZetaChain发布事后分析报告,确认攻击者利用多个看似孤立但可协同运作的设计缺陷,成功实现约33.4万美元的资金转移。此次攻击波及以太坊、Arbitrum、Base与BSC四大链,涉及九个由攻击方控制的钱包地址。
三重缺陷叠加形成完整攻击路径,非单一漏洞所致
攻击链条由三项独立技术弱点构成:跨链网关合约允许无限制发出指令,接收端可执行任意合约调用,而原有的拦截名单未涵盖基础代币转账功能。此外,曾与网关交互的钱包仍保留无限代币授权,且未被及时撤销,为攻击创造了条件。
攻击前兆清晰:预谋布局暴露于资金清洗与合约部署
调查发现,攻击者在实施攻击前三天即通过Tornado Cash对钱包进行资金注入,随后在ZetaChain网络中部署定制化恶意合约,并采取地址污染策略隐藏真实来源,表明此次行动具备高度计划性。
早期报告被忽视,平台启动评估流程重构
值得注意的是,核心问题早在漏洞赏金计划中被提交,但当时被判定为非威胁性行为。这一疏漏促使项目方重新审视对复杂多步骤攻击路径的识别机制,强调应从整体攻击图谱角度评估风险,而非仅分析单点异常。
防御升级:禁用任意调用与授权机制改革同步推进
事件发生次日,ZetaChain已暂停主网跨链交易以遏制风险扩散。目前,平台通过节点更新禁用了网关的任意调用能力,并调整存款流程,取消无限授权模式,转而采用精确金额授权方式,从根本上降低类似攻击重现的可能性。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。