针对周日发生的跨链网关合约攻击事件,ZetaChain发布事后分析报告,确认此次攻击源于三个此前已提交至漏洞赏金计划的缺陷组合。尽管相关问题曾被披露,但当时被认定为非威胁性操作,未能引起足够关注。
攻击者利用网关合约允许无限制发送跨链指令的特性,结合接收端可执行任意合约调用的能力,叠加拦截名单未覆盖基础代币转账功能的缺陷,构建出可绕过监管的完整攻击路径。同时,已有交互钱包持有的无限授权未被撤销,成为资金转移的关键入口。
调查发现,攻击者在漏洞利用前三日即通过Tornado Cash对控制钱包进行资金注入,并在ZetaChain网络中部署定制化攻击合约。此外,其还采用地址污染手段,干扰链上追踪与风险识别,显示出高度组织化的行动特征。
事件暴露了当前仅以单点漏洞为评估标准的局限性。为此,ZetaChain宣布将重新审视漏洞报告处理机制,重点加强对多步骤、跨模块攻击路径的识别与优先级划分。目前,主网节点已部署补丁,禁用网关的任意调用权限,并调整存款流程,取消无限授权,转为按需精确授权,以阻断类似攻击模式。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.