ゲートニュース記事、4月29日 — ZetaChainはポストモーテム報告書を公開し、4月24日の攻撃がそのクロスチェーン・メッセージング・パイプラインの脆弱性を悪用したことを確認しました。このインシデントにより、9件の取引において合計$333,868 (主にUSDCとUSDT)が失われました。対象はEthereum、Arbitrum、Base、およびBSCです。攻撃の影響を受けたのは3つの社内チーム用ウォレットのみで、ユーザーの資金は影響を受けていません。
この攻撃では、相互に関連する3つの脆弱性が悪用されました。クロスチェーン・システムは、最小限の制限で「任意の呼び出し(arbitrary calls)」を許可していたこと。受信側のGatewayEVMコントラクトが、「transferFrom」を含むほとんどの命令を受け付けていたこと。そして「GatewayEVM.deposit()」経由でトークンを預け入れたユーザーが、無制限で取り消されない承認(unrevoked approvals)を攻撃者に付与しており、それを悪用してウォレットからトークンを抽出されたことです。
ZetaChainは、攻撃者は機会を狙っただけではなく、攻撃に備えて多くの時間とリソースを投じていたと指摘しました。具体的には、攻撃の3日前にTornado Cashを通じてウォレットに資金を供給し、被害者のアドレスになりすますために総当たり攻撃を実施していました。プロトコルはパッチを導入しており、アップグレードと監査が完了するまでクロスチェーン取引機能は無効のままです。
