资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
核心要点
跨链网关存在的缺陷在多个网络中被利用,持续的代币授权机制导致资金流失。平台实施了紧急响应,此次事件也引发了行业对安全问题的广泛关注。
跨链协议因网关合约漏洞损失33.4万美元,攻击利用了无限代币授权和任意函数调用功能。安全漏洞影响了四个区块链网络上的内部团队钱包。平台已实施紧急修补并暂停跨链操作,此次安全事件中未有用户资金受损。
跨链网关漏洞在多网络中被利用
根据官方声明,此次安全漏洞的核心在于管理跨链消息传递和代币转移的GatewayEVM合约。恶意行为者利用设计缺陷执行了未经授权的提款,盗取行为波及以太坊、Arbitrum、Base和BSC四个区块链网络。
平台披露,攻击者利用了消息传递基础设施内的多个安全缺口。网关系统允许连接区块链之间进行无限制的函数调用,这一架构弱点使得关键合约功能能在缺乏适当防护的情况下被远程激活。
技术分析表明,接收合约能处理包括直接代币转移在内的多种指令类型,薄弱的验证机制未能阻止恶意指令。攻击者利用这些宽松的限制,从受影响的地址中转移了资金。
持续的代币授权助长资金流失
此次攻击机制严重依赖于先前授予网关智能合约的无限代币授权。这些权限在早期的存款交易中就已设定且从未被撤销。攻击者利用transferFrom函数,从拥有活跃授权的钱包中提取了ERC-20代币。
平台方强调,此次安全事件仅影响了团队控制的三个钱包,最终用户的存款和资产在整个攻击过程中始终保持安全。该漏洞突显了永久性代币授权所带来的重大风险。
值得注意的是,安全研究人员此前已通过平台的漏洞赏金计划标记过此漏洞,但该提交被认定为预期功能而非关键缺陷,并未受到重视。这一分类错误,在实际攻击中与其他系统弱点结合,成为了一个促成因素。
紧急响应与行业安全关切
在检测到未经授权的交易后,平台立即暂停了所有跨链功能。工程师迅速开发并部署了修复代码,移除了任意调用功能。在全面安全审计和系统强化完成前,相关服务将保持暂停状态。
更新后的架构将以交易特定的权限模型取代一揽子代币授权,此举将显著限制未来操作中潜在的攻击途径。平台管理员敦促所有用户撤销与网关基础设施相关的未使用授权。
调查显示攻击者进行了周密的准备。初始资金通过隐私协议获得,而地址投毒策略则制造了混乱。被盗资产被立即转换为ETH,增加了追踪难度。
此次事件加剧了去中心化金融生态系统中对智能合约安全日益增长的担忧。行业数据显示,近期针对架构漏洞的攻击频率有所增加。平台宣布将对漏洞赏金流程及整体安全协议进行全面审查。
