BTC $62,084.06 -3.17%
ETH $1,769.08 -2.71%
BNB $564.65 -2.42%
XRP $1.06 -3.10%
SOL $74.91 -3.26%
TRX $0.3253 -1.86%
DOGE $0.0714 -2.57%
ADA $0.1576 -3.82%
BCH $235.61 -4.33%
LINK $7.88 -2.12%
HYPE $63.58 -6.47%
AAVE $94.60 -3.75%
SUI $0.7183 -2.76%
XLM $0.1820 -3.81%
ZEC $506.79 -5.82%
BTC $62,084.06 -3.17%
ETH $1,769.08 -2.71%
BNB $564.65 -2.42%
XRP $1.06 -3.10%
SOL $74.91 -3.26%
TRX $0.3253 -1.86%
DOGE $0.0714 -2.57%
ADA $0.1576 -3.82%
BCH $235.61 -4.33%
LINK $7.88 -2.12%
HYPE $63.58 -6.47%
AAVE $94.60 -3.75%
SUI $0.7183 -2.76%
XLM $0.1820 -3.81%
ZEC $506.79 -5.82%

分析:ZetaChain 漏洞曾被白帽提前报告但遭忽视,最终导致 33.4 万美元攻击事件

2026-04-29 19:26:03
收藏

ChainCatcher 消息,据 Cointelegraph 报道,跨链协议 ZetaChain 披露,其近期约 33.4 万美元漏洞攻击事件所涉及的安全问题,曾在漏洞赏金计划中被研究员提前报告,但当时被项目方视为“预期行为”而未处理。

根据官方发布的事故复盘,本次攻击源于三个原本看似独立、风险较低的设计缺陷组合:Gateway 合约允许任何人发送任意跨链指令;接收端几乎可对任意合约执行调用,且黑名单限制过于狭窄;部分钱包长期保留无限授权(Unlimited Approval)未被清理。攻击者最终通过组合这些缺陷,指示 Gateway 将代币直接转入其控制地址,从而完成资产转移。

ZetaChain 表示,此次攻击共涉及 Ethereum、Arbitrum、Base 与 BSC 四条链上的 9 笔交易,被盗资金均来自 ZetaChain 控制的钱包,用户资金未受影响。官方称,该攻击具有明显预谋性。攻击者在作案前三天便通过 Tornado Cash 为钱包注资,并提前部署专用 Drainer 合约,同时还实施了地址污染(Address Poisoning)攻击。

目前,ZetaChain 已开始向主网节点推送修复补丁,永久禁用任意调用(arbitrary call)功能,并将存款流程中的无限授权机制改为“精确额度授权”。

app_icon
ChainCatcher 与创新者共建Web3世界