币须知道4 月 29 日,跨链协议 ZetaChain 披露,其近期约 33.4 万美元漏洞攻击事件所涉及的安全问题,曾在漏洞赏金计划中被研究员提前报告,但当时被项目方视为「预期行为」而未处理。根据官方发布的事故复盘,本次攻击源于三个原本看似独立、风险较低的设计缺陷组合:
Gateway 合约允许任何人发送任意跨链指令;
接收端几乎可对任意合约执行调用,且黑名单限制过于狭窄;
部分钱包长期保留无限授权(Unlimited Approval)未被清理。
攻击者最终通过组合这些缺陷,指示 Gateway 将代币直接转入其控制地址,从而完成资产转移。ZetaChain 表示,此次攻击共涉及 Ethereum、Arbitrum、Base 与 BSC 四条链上的 9 笔交易,被盗资金均来自 ZetaChain 控制的钱包,用户资金未受影响。
官方称,该攻击具有明显预谋性。攻击者在作案前三天便通过 Tornado Cash 为钱包注资,并提前部署专用 Drainer 合约,同时还实施了地址污染(Address Poisoning)攻击。
目前,ZetaChain 已开始向主网节点推送修复补丁,永久禁用任意调用(arbitrary call)功能,并将存款流程中的无限授权机制改为「精确额度授权」。
