ZetaChain signale une vulnérabilité de messagerie inter-chaînes, perte de 333 868 $ liée à l’attaque du 24 avril

Message de Gate News, 29 avril — ZetaChain a publié un rapport post-mortem confirmant que l’attaque du 24 avril a exploité des vulnérabilités dans son pipeline de messagerie inter-chaînes. L’incident a entraîné une perte totale de $333,868 (principalement USDC et USDT) sur neuf transactions sur Ethereum, Arbitrum, Base et BSC. L’attaque n’a touché que trois portefeuilles internes de l’équipe, aucun fonds utilisateur n’a été impacté.

L’attaque a tiré parti de trois vulnérabilités interconnectées : le système inter-chaînes permettait des « appels arbitraires » avec des restrictions minimales ; le contrat GatewayEVM, côté réception, acceptait la plupart des commandes, y compris « transferFrom » ; et les utilisateurs qui avaient déposé des jetons via « GatewayEVM.deposit() » avaient accordé des autorisations illimitées, non révoquées, que l’attaquant a exploitées pour extraire des jetons depuis des portefeuilles.

ZetaChain a noté que l’attaquant n’était pas opportuniste, mais avait investi un temps et des ressources considérables dans la préparation, notamment en finançant un portefeuille via Tornado Cash trois jours avant l’attaque et en menant des attaques par force brute pour usurper les adresses des victimes. Le protocole a déployé des correctifs, et la fonctionnalité de transaction inter-chaînes restera désactivée jusqu’à ce que les mises à niveau et les audits soient terminés.