自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

ZetaChain在遭遇33.4万美元攻击前承认忽略漏洞悬赏报告

2026-04-29 20:41:24
收藏
ZetaChain承认,导致近期被攻击的漏洞此前已通过其漏洞赏金计划上报,但当时被认定为正常行为。根据该平台于周三发布的事后分析报告,此次事件已触发对协议漏洞提交评估流程的内部审查,特别是针对那些涉及多步骤攻击路径、单独审视时可能显得无害的漏洞。 此次事件源于周日针对项目跨链网关合约的攻击。攻击者在以太坊、Arbitrum、Base和BSC链上通过团队控制的九个钱包地址实施了约33.4万美元的资金转移。ZetaChain声明用户资金未受影响,并在事件发生次日暂停主网跨链交易以控制风险。 漏洞组合形成完全攻击路径 ZetaChain指出,攻击者串联利用了三个独立的设计缺陷。这些缺陷单独存在时并不严重,但组合后形成完整攻击链:网关合约允许无限制发送跨链指令,接收端可执行近乎任意的合约指令,而受限的拦截名单未能覆盖基础代币转账功能。曾与网关交互的现有钱包保留了无限代币授权且未被撤销。攻击者通过组合这些条件,指令网关从相关钱包转移代币,系统未加阻拦地执行了转账。 平台强调此次攻击具有预谋性:攻击者在漏洞利用前三天通过Tornado Cash为钱包提供资金,在ZetaChain部署定制化攻击合约,并在发起交易前实施地址污染策略。 漏洞报告曾被忽略 在事后报告中,ZetaChain确认核心问题早前已通过漏洞赏金计划提交,但当时未被视作威胁。团队表示这促使平台重新评估处理复杂组合攻击报告的方式,而非仅关注孤立漏洞。 事件发生后,ZetaChain表示已通过主网节点部署的补丁禁用网关的任意调用功能。平台同时调整存款流程,取消无限代币授权机制,改为精确数额授权以降低类似攻击模式的风险。
展开阅读全文
更多新闻