ZetaChain公布事故分析：跨鏈消息傳遞漏洞導致33萬美元損失

BlockBeats 消息，4 月 29 日，ZetaChain 於近日發布事後分析報告，確認 4 月 24 日的攻擊事件源於其跨鏈消息傳遞管道中的漏洞。攻擊者利用了三個相互關聯的問題：跨鏈系統允許發起「任意調用」且限制極少；接收端的 GatewayEVM 合約接受了包括「transferFrom」在內的大多數命令；此前用戶通過「GatewayEVM.deposit()」存入代幣時授予了未撤銷的無限制授權，攻擊者借此從錢包中提取了代幣。

此次攻擊共涉及以太坊、Arbitrum、Base 和 BSC 四條鏈上的 9 筆交易，總損失為 333,868 美元（主要為 USDC 和 USDT），僅影響三個內部團隊錢包，無用戶資金損失。ZetaChain 表示，攻擊者並非機會主義者，而是投入了大量時間和資源進行準備，包括在攻擊前三天通過 Tornado Cash 為錢包提供資金，並發動了暴力破解攻擊以模仿受害者地址。目前 ZetaChain 已部署補丁，跨鏈交易功能在完成升級和審查前將保持關閉。