近期,多个区块链生态因跨链网关合约存在深层设计缺陷而遭受攻击,持续的无限代币授权机制成为资金流失的关键诱因。尽管平台迅速采取应急措施,但此次事件仍引发业内对去中心化系统安全架构的深度反思。
官方披露,问题根源在于用于协调跨链消息与资产转移的GatewayEVM合约存在结构性缺陷。攻击者通过滥用该合约的任意函数调用能力,在以太坊、Arbitrum、Base及BSC四大链上发起未经授权的资金提取。
技术调查指出,网关系统允许跨链节点间执行无边界指令,其底层通信机制缺乏必要的访问控制和输入验证。这一设计盲区使得恶意指令可绕过常规防护,在未被识别的情况下远程激活关键合约操作。
分析显示,接收端合约支持多种指令类型,包括直接代币划转。由于验证逻辑薄弱,系统未能有效拦截非法请求,攻击者借此从多个受控地址中完成资产转移。
此次攻击的核心手段依赖于早期设定且从未失效的无限代币授权。这些权限在初始存款流程中即被授予网关合约,此后长期处于激活状态,为攻击者提供了合法接口。
利用transferFrom函数,攻击者成功从三个由内部团队管理的钱包中提取了ERC-20代币。值得强调的是,普通用户资产未受影响,整个过程中始终处于安全状态。
值得注意的是,该漏洞曾被研究人员通过平台赏金计划报告,但当时被归类为“预期功能”而非高危缺陷,导致未能及时修复。这一误判在后续攻击中与其他系统弱点叠加,形成致命突破口。
在发现异常交易后,平台立即中断所有跨链服务。开发团队在短时间内完成补丁部署,移除了允许任意调用的权限接口,并引入基于具体交易场景的细粒度授权模型。
新架构将取代原有的全量授权机制,大幅压缩潜在攻击路径。平台同时呼吁所有用户主动撤销与跨链网关相关的闲置授权,以降低个人资产风险。
调查显示,攻击者采用隐私协议获取初始资金,并通过地址投毒制造混淆。被盗资产迅速转换为ETH,显著提升了追踪难度。此次事件反映出攻击者日益成熟的战术布局。
当前,去中心化金融领域对智能合约安全的关注度持续上升。数据显示,近期内针对协议架构的攻击频次呈上升趋势。平台宣布将全面评估漏洞赏金机制与整体安全治理流程,推动行业标准升级。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.