Gate 新闻消息,4 月 29 日——ZetaChain 发布了一份事后分析报告,确认 4 月 24 日的攻击利用了其跨链消息传递管道中的漏洞。该事件导致总损失 $333,868 (,主要是 USDC 和 USDT),发生在以太坊、Arbitrum、Base 和 BSC 上的共 9 笔交易中。此次攻击仅影响了 3 个内部团队钱包,未波及任何用户资金。

此次攻击利用了 3 个相互关联的漏洞:跨链系统允许以“最少限制”执行“任意调用”;在接收端,GatewayEVM 合约接受了大多数指令,包括“transferFrom”;以及通过“GatewayEVM.deposit()”存入代币的用户已授予无限且未撤销的授权,而攻击者正是利用这些授权从钱包中提取代币。

ZetaChain 指出,攻击者并非临时起意,而是投入了大量时间和资源进行准备,包括在攻击前 3 天通过 Tornado Cash 为某个钱包转入资金,并通过暴力破解来冒充受害者地址。协议已部署补丁;在完成升级和审计之前,跨链交易功能将保持禁用。