Повідомлення Gate News, 29 квітня — ZetaChain опублікувала звіт про post-mortem, підтвердивши, що атака 24 квітня скористалася вразливостями в її конвеєрі кросчейн-повідомлень. Інцидент призвів до повної втрати $333,868 (насамперед USDC та USDT) у межах дев’яти транзакцій у мережах Ethereum, Arbitrum, Base та BSC. Атака вплинула лише на три внутрішні гаманці команди, без жодного впливу на кошти користувачів.

Атака використала три взаємопов’язані вразливості: кросчейн-система дозволяла «довільні виклики» за мінімальних обмежень; контракт GatewayEVM на стороні отримання приймав більшість команд, зокрема «transferFrom»; і користувачі, які внесли токени через «GatewayEVM.deposit()», надали безмежні, незвідкличні дозволи, які зловмисник використав для вилучення токенів з гаманців.

ZetaChain зазначила, що зловмисник не діяв спонтанно, а витратив значний час і ресурси на підготовку, зокрема профінансував гаманець через Tornado Cash за три дні до атаки та здійснював brute-force атаки, щоб видати адреси потерпілих за свої. Протокол уже розгорнув патчі, а функціональність кросчейн-транзакцій залишатиметься вимкненою, доки не завершаться оновлення та аудити.

Переглянути джерело

Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.