本次安全事件的根源在于ZetaChain网关合约中嵌入的任意调用机制。攻击者激活该功能后,成功绕过跨链消息的发送方身份校验,致使系统将来源地址置为空值,进而触发特定执行逻辑。该逻辑在外部调用时缺乏有效约束,仅设有有限函数选择器黑名单,而关键的代币转移与授权操作未被纳入拦截范围。
攻击者选定目标代币合约,并注入转账指令数据包。由于网关合约持有受害者钱包预先授予的完整权限,系统自动执行了资金划转。此次行动覆盖四条区块链,共发起九次转账,其中Base链上的单笔损失最为严重。全面链上扫描确认,无其他账户受到波及。
此次行动并非随机尝试。攻击者在攻击前约七十二小时,借助隐私交易工具为攻击钱包注入初始资金,以隐藏资金流向。同时,其通过高强度暴力计算生成一个与真实钱包地址高度重合的伪造地址,二者在十三个字符上完全一致。
此类地址生成需消耗大量算力资源。攻击者随后使用该伪装地址向目标发送小额交易,诱导钱包界面显示相似片段,利用地址截断特性制造视觉混淆。此外,攻击者已在ZetaChain网络部署专用资金调度合约,用于协调多链调用流程。所有尝试均顺利完成,表明其在执行前已验证各目标的授权状态与余额情况。
ZetaChain在检测到异常后八分钟内立即停止全部跨链操作。团队当日即调整存款流程,废除无限授权模式,改为按每笔交易精确审批额度。与此同时,已完成测试网验证的客户端补丁正在逐步上线主网节点,永久关闭引发漏洞的任意调用路径。
所有已识别的攻击地址已被标记并上报至应急响应网络。被盗资产已统一转入指定钱包进行追踪。项目方承认此前已有漏洞报告提交,但初审误判为协议设计行为而未处理。此次事件推动其对链间攻击面管理机制进行全面复盘,并重新评估漏洞赏金计划。建议曾与网关交互的用户使用授权检查工具主动撤销相关权限,降低二次风险。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.