自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

忽视预警酿成ZetaChain三十四万美元加密资产漏洞

2026-04-29 21:22:35
收藏

漏洞曾被报告却遭忽略

据悉,该漏洞此前已通过该项目的漏洞赏金计划提交,却被团队认定为正常功能而驳回。在事后分析中,项目方指出攻击者结合了多个设计缺陷,包括未受限制的跨链指令、过于宽泛的合约执行权限,以及此前钱包交互后遗留的无限代币授权。

据称攻击者还通过隐私工具预先为钱包注入资金,做好了准备。

安全事件引发新思考

近期发生的安全事件导致了约33.4万美元的损失。攻击者在多个区块链网络上提取了协议控制的资金,涉及以太坊、Arbitrum、Base及BNB智能链等网络。值得关注的是,用户资金并未受到影响。

此次事件受到广泛关注,因为据报告攻击背后的漏洞此前已通过漏洞赏金计划被发现,但被团队认定为正常设计。

多重缺陷的组合风险

在事后发布的报告中,项目方解释称此次安全事件并非由单一重大缺陷导致,而是多个较小设计弱点在组合后形成危险。根据报告,协议的网关合约允许任何人在缺乏足够限制的情况下提交任意跨链指令。当这些指令到达目标链后,网关几乎可以在任何智能合约上执行命令。尽管存在黑名单机制,但其覆盖范围过于有限,未能阻止常见的代币转移功能。

另一个关键问题涉及此前与网关交互过且仍保留无限代币授权的钱包。这些授权既未被撤销也未清理。通过结合开放的跨链消息传递、过宽的执行权限以及遗留的代币授权,攻击者能够指令网关将受影响钱包中的代币直接转入其控制的地址。

精心策划的攻击手法

项目方表示此次攻击属于精心策划而非偶然利用。调查人员发现,攻击者在入侵发生前数日已通过隐私工具为其钱包注入资金,在网络上部署了定制化的资金提取合约,并开展了旨在操纵交易历史、混淆受害者或监控系统的地址伪造活动。

安全措施全面升级

作为应对,协议已开始推进安全修复工作。主网节点的任意调用功能已被永久禁用,代币授权流程也经过重新设计,未来存款将采用精确数量授权而非无限权限。团队同时表示正在重新审视漏洞赏金提交的处理机制,特别是那些看似低风险但可能串联形成严重攻击的案例。

展开阅读全文
更多新闻