近期多链生态遭遇严重安全冲击,由跨链网关合约漏洞引发的攻击事件导致33.4万美元资金流失。此次攻击利用了长期存在的代币授权机制,恶意行为者通过未受限制的函数调用能力,在以太坊、Arbitrum、Base及BSC四个网络上实施远程提款。
官方披露,问题根源在于用于管理跨链通信的GatewayEVM合约。该组件在设计上允许跨网络执行无边界指令,攻击者借此绕过身份验证与权限控制,触发未经授权的资金转移。
技术层面分析显示,接收端合约具备处理多种操作类型的能力,包括直接代币划转,但其输入校验逻辑存在明显疏漏。这一架构缺陷使攻击者可构造恶意数据包,诱导系统执行非法交易。
本次攻击的关键路径依赖于早期设定且未被撤销的无限代币授权。这些权限存在于初始存款流程中,长期处于激活状态,为攻击者提供了合法接口以调用transferFrom函数。
平台确认,受影响账户均为内部运营钱包,用户持有的资产在整个事件过程中未受到任何影响。该案例凸显了持久性授权在去中心化系统中的潜在危害。
值得注意的是,该漏洞曾在漏洞赏金计划中被提出,但被归类为“预期功能”而未获优先处理。此误判在实际攻击中与其他系统弱点叠加,成为促成攻击的重要因素。
检测到异常交易后,平台立即中断所有跨链服务,并迅速部署临时补丁,移除任意函数调用权限。当前系统仍处于暂停状态,待完成深度安全审查后方可恢复。
新版本架构将采用基于具体交易的细粒度授权模型,取代原有的批量授权机制,从根本上降低未来攻击面。平台呼吁所有用户主动撤销与网关相关的非必要授权。
调查发现,攻击者提前通过隐私协议获取初始资金,并使用地址投毒策略干扰监控系统。被盗资产迅速转换为ETH,显著提升追踪难度。
此次事件再次引发业界对智能合约安全性的广泛讨论。数据显示,近期内针对协议底层结构的攻击数量呈上升趋势。平台宣布将全面优化漏洞赏金机制,并加强内部安全开发流程的合规性审查。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.