资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
攻击者如何利用网关合约
此次漏洞的核心在于ZetaChain网关合约中的任意调用功能。攻击者通过启用“任意调用”标志,绕过了跨链消息中常规的发送方验证机制。这导致客户端软件将发送方地址清零,使调用转入特定的执行函数。该函数在执行外部调用时限制极少,其唯一保护措施是一个阻止特定函数选择器的禁用列表,而关键的代币转账及授权函数却未被拦截。
攻击者将目标设定为某个代币合约,并传入转账调用数据。由于网关本身持有受害钱包预先批准的授权额度,便成功执行了转账。攻击在四条区块链上共计发起了九笔资金转移交易,其中单笔最大损失发生在Base链上。全面扫描确认,在所有相关链上均未发现其他受害者。
攻击准备周密且具有针对性
此次攻击并非偶然。黑客在实施攻击前约三天,通过隐私交易工具为主要攻击钱包提供资金,此举旨在掩盖资金来源。此外,攻击者通过暴力计算生成了一个与受害者真实地址高度相似的伪装地址,该假地址与真实地址共有十三位字符相同。
生成此类地址需进行海量密钥尝试,耗费可观的计算资源。攻击者使用该伪装地址向受害者发送微量交易,从而在其交易历史中植入相似记录。这种方法利用了钱包界面通常会截短地址进行显示的特点。攻击者还在ZetaChain上部署了专门设计的资金转移合约来协调跨链调用。所有转移尝试均成功完成,事后分析指出,这表明黑客在行动前已仔细验证了每个目标的授权状态与代币余额。
项目方回应与用户建议
ZetaChain在检测到攻击后八分钟内暂停了所有跨链交易。团队于当日修改了存款流程,取消了无限授权设置,改为仅批准每笔交易所需的精确金额。同时,已开发并完成了测试网验证的客户端补丁,正逐步部署至主网节点。该补丁永久禁用了导致此次漏洞的任意调用代码路径。
所有已识别的攻击者地址均已通过应急响应网络进行标记,并向相关部门提交了报告。被盗资金已被转换并转移至统一钱包。ZetaChain亦表示正在重新审视其漏洞赏金处理流程。事后报告承认,该漏洞此前曾被提交,但初期被认定为协议设计行为而未予处理。此次事件促使项目方对链式攻击向量的处理程序进行审查。建议曾与网关交互的用户使用相关工具检查并撤销代币授权。
