Gate News 訊息,4月29日——ZetaChain 發布一份事後檢討報告,確認 4月24日的攻擊利用了其跨鏈訊息傳遞管線中的漏洞。此次事件造成的總損失為 $333,868 (,主要為 USDC 和 USDT),涵蓋在以太坊、Arbitrum、Base 以及 BSC 上的九筆交易。此次攻擊僅影響三個內部團隊錢包,未影響任何用戶資金。
此次攻擊利用了三個相互連結的漏洞:跨鏈系統允許以「任意呼叫」且限制極少;接收端的 GatewayEVM 合約接受了大多數指令,包括「transferFrom」;以及曾透過「GatewayEVM.deposit()」存入代幣的使用者,授予了無限且不可撤銷的授權,而攻擊者正是利用這些授權從錢包中抽取代幣。
ZetaChain 指出,攻擊者並非趁機而為,而是投入了大量時間與資源進行準備,包括在攻擊前三天透過 Tornado Cash 為一個錢包提供資金,並進行暴力破解攻擊以冒充受害者地址。該協議已部署修補程式;在完成升級與稽核之前,跨鏈交易功能將保持停用。
Related News
