BlockBeats berita, 29 April, protocol lintas rantai ZetaChain mengungkapkan bahwa insiden serangan kerentanan sekitar 334.000 dolar AS baru-baru ini melibatkan masalah keamanan yang telah dilaporkan sebelumnya dalam program bounty kerentanan, tetapi saat itu dianggap sebagai “perilaku yang diharapkan” oleh tim proyek dan tidak ditangani. Berdasarkan tinjauan ulang kejadian yang dirilis secara resmi, serangan ini berasal dari kombinasi tiga cacat desain yang tampaknya independen dan berisiko rendah:
Kontrak Gateway mengizinkan siapa saja mengirimkan instruksi lintas rantai secara sembarangan;
Penerima hampir dapat mengeksekusi panggilan ke kontrak apa pun, dan daftar hitam terlalu sempit;
Beberapa dompet menyimpan izin tak terbatas (Unlimited Approval) dalam jangka panjang yang belum dibersihkan.
Penyerang akhirnya memanfaatkan kombinasi cacat ini untuk mengarahkan Gateway mentransfer token langsung ke alamat kendali mereka, sehingga menyelesaikan transfer aset. ZetaChain menyatakan bahwa serangan ini melibatkan 9 transaksi di empat rantai Ethereum, Arbitrum, Base, dan BSC, dengan dana yang dicuri berasal dari dompet yang dikendalikan oleh ZetaChain, dan dana pengguna tidak terpengaruh.
Pihak resmi menyebut bahwa serangan ini memiliki motif yang jelas. Penyerang telah mengisi dompet melalui Tornado Cash tiga hari sebelum melakukan serangan, dan telah menyiapkan kontrak Drainer khusus sebelumnya, serta melakukan serangan pencemaran alamat (Address Poisoning).
Saat ini, ZetaChain telah mulai mengirimkan patch perbaikan ke node utama jaringan, secara permanen menonaktifkan fungsi panggilan sembarangan (arbitrary call), dan mengubah mekanisme izin tak terbatas dalam proses penyetoran menjadi “izin yang tepat”.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
HKMA Mengingatkan Token Palsu yang Menyamar sebagai Penerbit Stablecoin Berlisensi pada 28 April
Otoritas Moneter Hong Kong (HKMA) mengeluarkan peringatan publik pada 28 April terkait token digital penipuan yang beredar dengan nama dua penerbit stablecoin yang baru dilisensikan. Token dengan ticker "HKDAP" dan "HSBC" telah muncul di pasar tanpa otorisasi dari Anchorpoint Financial Limited atau The Hongkong and Shanghai Banking Corporation Limited, yang keduanya menerima lisensi perdana penerbit stablecoin Hong Kong pada 10 April. HSBC mengonfirmasi bahwa pihaknya tidak memiliki hubungan dengan token apa pun yang saat ini menggunakan namanya dan menjelaskan bahwa stablecoin yang direncanakan dalam denominasi dolar Hong Kong masih dalam tahap persiapan untuk peluncuran pada paruh kedua 2026. Setelah dirilis, produk akan tersedia secara eksklusif melalui PayMe dan Aplikasi Perbankan Seluler HSBC HK. Anchorpoint juga mengonfirmasi bahwa pihaknya belum merilis produk stablecoin apa pun kepada publik.
GateNews18menit yang lalu
Data Pelanggan Zondacrypto Ditawarkan untuk Dijual di Darknet seharga 550 Euro dan 0.6 BTC
Menurut Bitcoin.pl, data pelanggan dari bursa Polandia yang gagal Zondacrypto telah ditawarkan untuk dijual di darknet, dengan dua paket yang tersedia. Paket yang lebih kecil, yang berisi alamat email dan data identifikasi dasar, dibanderol dengan harga sekitar 550 euro, sementara paket yang lebih besar—termasuk
GateNews3jam yang lalu
Aftermath Finance Diretas, $1,1M USDC Dicuri dalam 36 Menit di Sui Network
Menurut Blockaid, protokol kontrak perpetual Aftermath Finance di Sui Network mengalami serangan berkelanjutan, dengan sekitar $1,1 juta USDC dicuri melalui 11 transaksi dalam 36 menit. Kerentanan tersebut berasal dari cacat pencatatan biaya dalam sistem likuidasi kontrak perpetual, yang memungkinkan penyerang untuk membesarkan jaminan sintetis dan menarik dana dari perbendaharaan protokol.
GateNews3jam yang lalu
30 Plugin Jahat di ClawHub Disamarkan sebagai Alat AI, Diunduh Lebih dari 9.800 Kali
Menurut peneliti Manifold Ax Sharma, 30 plugin di ClawHub yang disamarkan sebagai alat AI yang sah telah diunduh lebih dari 9.800 kali sementara diam-diam mengubah asisten AI pengguna menjadi pekerja kripto. Plugin-plugin tersebut, yang dipublikasikan di bawah akun imaflytok, tampak sebagai penjadwal tugas rutin dan alat pemantauan, namun berisi instruksi tersembunyi yang menjalankan operasi yang tidak berwenang.
Setelah terpasang, plugin-plugin ini secara otomatis mendaftarkan asisten AI pengguna ke server pihak ketiga, membuat dompet mata uang kripto, dan mengekstrak kunci privat tanpa persetujuan atau pemberitahuan pengguna. Asisten kemudian melakukan check-in setiap 4 jam sambil menunggu penugasan tugas. Sharma mencatat bahwa plugin-plugin tersebut tidak berisi kode berbahaya yang dapat dideteksi oleh pemindai keamanan, hanya menggunakan antarmuka standar dan alat yang sah, sehingga sulit diidentifikasi melalui tinjauan keamanan konvensional.
GateNews4jam yang lalu
Ethereum Mengalami 4 Serangan Kontrak Pintar dalam 48 Jam, Kerugian Melebihi $1,5 Juta
Pesan Berita Gate, 29 April — Jaringan utama Ethereum mengalami empat serangan kontrak pintar dalam 48 jam terakhir (27-29 April), mengakibatkan kerugian gabungan melebihi $1,5 juta, menurut GoPlus Security.
Insiden tersebut termasuk serangan terhadap kontrak agregator Onchain yang menyebabkan kerugian sebesar $983,000 dalam los
GateNews6jam yang lalu
