ZetaChain báo cáo lỗ hổng nhắn tin liên chuỗi, thiệt hại $333,868 do cuộc tấn công ngày 24 tháng 4

Tin tức Gate, ngày 29 tháng 4 — ZetaChain đã phát hành báo cáo xem xét sự cố (post-mortem) xác nhận rằng cuộc tấn công ngày 24 tháng 4 đã khai thác các lỗ hổng trong pipeline nhắn tin liên chuỗi của mình. Sự cố đã dẫn đến tổng thiệt hại $333,868 (chủ yếu là USDC và USDT) qua chín giao dịch trên Ethereum, Arbitrum, Base và BSC. Cuộc tấn công chỉ ảnh hưởng đến ba ví thuộc nhóm nội bộ, không có tiền của người dùng bị tác động.

Cuộc tấn công đã tận dụng ba lỗ hổng liên kết với nhau: hệ thống liên chuỗi cho phép "arbitrary calls" với các hạn chế tối thiểu; hợp đồng GatewayEVM ở phía nhận đã chấp nhận hầu hết các lệnh, bao gồm "transferFrom"; và những người dùng đã nạp token thông qua "GatewayEVM.deposit()" đã cấp các phê duyệt không giới hạn, không bị thu hồi mà kẻ tấn công đã khai thác để rút token khỏi ví.

ZetaChain cho biết kẻ tấn công không phải là hành động cơ hội, mà đã đầu tư đáng kể thời gian và nguồn lực cho công tác chuẩn bị, bao gồm việc tài trợ cho một ví thông qua Tornado Cash ba ngày trước cuộc tấn công và thực hiện các đợt tấn công brute-force để mạo danh các địa chỉ nạn nhân. Giao thức đã triển khai các bản vá, và chức năng giao dịch liên chuỗi sẽ vẫn bị tắt cho đến khi hoàn tất các nâng cấp và đợt kiểm toán.