币圈界报道：

跨链网关存在设计缺陷，多链生态遭恶意渗透

近期跨链协议遭遇严重安全冲击，因网关合约架构漏洞导致资金外流。尽管平台迅速采取应急措施，但此次事件暴露了持续性代币授权机制在去中心化系统中的潜在风险，引发业界对底层安全模型的重新审视。

多链网关系统被远程激活，关键合约遭越权调用

官方披露，问题根源在于负责跨链消息传递与资产转移的GatewayEVM合约。攻击者通过构造特定指令序列，绕过验证逻辑，在以太坊、Arbitrum、Base及BSC等四大区块链上成功执行未授权提款操作。

技术分析显示，该网关允许跨链间无限制函数调用，缺乏必要的访问控制层。接收端合约可处理包括直接代币转移在内的多种指令类型，而验证流程存在明显疏漏，使恶意行为得以实施。

攻击者利用这一结构性弱点，从受控地址中批量提取资产，实现跨链资金转移，整个过程未触发常规风控机制。

永久性授权成主要突破口，团队钱包遭定向窃取

此次攻击的核心依赖于早期设定且未撤销的无限代币授权。这些权限在初始存款阶段即被授予网关合约，长期处于激活状态，成为攻击者实施transferFrom调用的关键入口。

平台确认，受影响的仅是内部运营团队持有的三个钱包，用户资金在整个过程中未受到任何波及。该事件凸显了永久性权限在去中心化系统中的高危属性。

值得注意的是，已有研究人员通过漏洞赏金计划提交过相关风险报告，但被归类为“预期功能”而非严重缺陷，未能及时响应。这一误判在实际攻击中与其他漏洞协同，形成复合型攻击路径。

即时封禁与权限重构，安全体系进入强化阶段

在检测到异常交易后，平台立即切断所有跨链通道。工程师快速部署补丁，移除任意函数调用能力，并引入基于交易粒度的动态权限模型，以替代原有的全量授权机制。

修复后的系统将在完成第三方审计前保持服务暂停。平台呼吁所有用户立即审查并撤销与网关相关的非必要授权，防范潜在风险。

调查显示，攻击者提前通过隐私网络获取初始资金，并采用地址投毒策略干扰监控系统。被盗资产迅速兑换为ETH，显著提升追踪难度。

此次事件加剧了市场对智能合约安全性的忧虑。数据显示，近期针对协议架构的攻击数量呈上升趋势。平台已宣布将全面优化漏洞赏金机制与整体安全治理流程，推动行业标准升级。