Сообщение Gate News, 29 апреля — ZetaChain опубликовала отчет post-mortem, подтверждающий, что атака 24 апреля использовала уязвимости в своем конвейере межсетевых (cross-chain) сообщений. В результате инцидента произошла полная потеря $333,868 (в первую очередь USDC и USDT) в рамках девяти транзакций в Ethereum, Arbitrum, Base и BSC. Атака затронула только три внутренних кошелька команды, при этом средства пользователей не пострадали.

В атаке были использованы три взаимосвязанные уязвимости: межсетевому (cross-chain) системе позволяла «произвольные вызовы» с минимальными ограничениями; контракт GatewayEVM на принимающей стороне принимал большинство команд, включая «transferFrom»; и пользователи, которые депонировали токены через «GatewayEVM.deposit()», выдали неограниченные, не отозванные одобрения, которые атакующий использовал, чтобы извлечь токены из кошельков.

ZetaChain отметила, что атакующий не действовал оппортунистически, а заранее инвестировал значительное время и ресурсы в подготовку, включая финансирование кошелька через Tornado Cash за три дня до атаки и проведение атак перебором (brute-force), чтобы выдать себя за адреса жертв. Протокол развернул исправления, а функциональность межсетевых (cross-chain) транзакций останется отключенной до завершения обновлений и аудитов.

Посмотреть источник

Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к Отказу от ответственности.