自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

ZetaChain忽略可能导致33.4万美元漏洞的缺陷报告

2026-04-29 21:17:29
收藏

漏洞悬赏机制存隐患:ZetaChain攻击事件暴露响应流程缺陷

ZetaChain近期遭遇的攻击事件中,攻击者利用的漏洞其实早前已通过漏洞悬赏计划被提交,但当时被团队误判为正常机制而忽略。团队在事后分析报告中承认,此次事件促使他们重新审视漏洞提交流程,尤其需关注那些单独看似无害、但组合使用可能形成链式攻击的潜在风险。

“该漏洞曾被报告,但他们直接忽视了。”一位用户在社交媒体上指出,“当前许多协议的漏洞悬赏机制反而可能助长损失——它们变相激励攻击者利用漏洞获取协议资金、锁仓总值和用户资产,而非鼓励研究人员协助修复漏洞。”

攻击手法剖析:微小设计缺陷的叠加效应

此次预谋攻击发生于周日,导致ZetaChain损失约33.4万美元。攻击针对其跨链网关合约,通过四条区块链上的九笔交易提取资金,所有资金均来自ZetaChain控制的钱包,用户资产未受影响。

团队在报告中阐明,攻击者利用了三个独立看似微小、但组合起来形成重大风险的设计缺陷:其一,网关允许任何人无限制发送任意跨链指令;其二,接收端几乎可执行任何合约指令,而阻止列表过于狭窄,未能覆盖基础的代币转账功能;其三,曾使用网关的钱包保留了无限支付权限且未及时清理。三者结合使攻击者能够直接指令网关将代币从受害钱包转入其控制地址。

攻击并非偶然:精密筹划与后续应对

“这绝非随机攻击。”报告强调。攻击者在实施前三日通过混币器为其钱包提供资金,在ZetaChain部署定制化盗取合约,并通过粉尘交易进行地址污染以掩盖行踪。

目前ZetaChain已向主网节点推送永久禁用任意调用功能的补丁,同时在存款流程中取消无限代币授权机制,未来将全面采用精确数额授权模式。

AI赋能DeFi攻击:模式识别能力决定成功率

一项新研究测试了现成AI代理能否超越漏洞识别范畴,真正生成可执行的攻击方案。研究者在沙盒环境中使用OpenAI Codex模型,基于20个真实以太坊价格操纵事件数据集进行测试。在未提供未来交易数据及攻击原理指导的情况下,AI成功率仅为10%。

然而当研究者向AI注入结构化知识——包括常见攻击模式与利用流程——成功率骤升至70%。这凸显出攻击模式认知在漏洞利用中的关键作用,也警示项目方需系统性分析潜在的攻击向量组合。

展开阅读全文
更多新闻