BlockBeats の報告によると、4月29日にクロスチェーンプロトコルZetaChainは、最近約33.4万ドルの脆弱性攻撃事件に関与したセキュリティ問題を公開しました。この問題は、脆弱性報奨金プログラムで研究者によって事前に報告されていましたが、その当時は「予期された行動」と見なされ、対応されませんでした。公式の事故振り返りによると、今回の攻撃は、もともと独立していると思われた3つのリスクの低い設計欠陥の組み合わせに起因しています:
ゲートウェイコントラクトは誰でも任意のクロスチェーン指令を送信できる;
受信側はほぼ任意のコントラクト呼び出しを実行でき、ブラックリスト制限も狭すぎる;
一部のウォレットは長期間無制限の承認(Unlimited Approval)を保持し続け、クリアされていない。
攻撃者はこれらの欠陥を組み合わせて最終的にゲートウェイに指示し、トークンを直接自分の管理アドレスに転送させ、資産の移動を完了させました。ZetaChainは、今回の攻撃はEthereum、Arbitrum、Base、BSCの4つのチェーン上で9件の取引に関与し、盗まれた資金はすべてZetaChainが管理するウォレットからのものであり、ユーザーの資金には影響がなかったと述べています。
公式によると、この攻撃は明らかに計画的なものであるとしています。攻撃者は犯行の3日前にTornado Cashを通じてウォレットに資金を注入し、事前に専用のDrainerコントラクトを展開し、さらにアドレス汚染(Address Poisoning)攻撃も実施しました。
現在、ZetaChainはメインネットのノードに修正パッチを送信し、任意呼び出し(arbitrary call)機能を永久に無効化し、預金プロセスにおける無制限の承認メカニズムを「正確な限度額の承認」に変更しています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
HKMA Warns of Fraudulent Tokens Impersonating Licensed Stablecoin Issuers on April 28
The Hong Kong Monetary Authority (HKMA) issued a public warning on April 28 regarding fraudulent digital tokens circulating under the names of two newly licensed stablecoin issuers. Tokens carrying the tickers "HKDAP" and "HSBC" have appeared in the market without authorization from Anchorpoint
GateNews18分前
Zondacryptoの顧客データがダークネットで550ユーロと0.6 BTCで販売中
Bitcoin.plによると、稼働停止となったポーランドの取引所Zondacryptoの顧客データが、ダークネット上で販売目的として提供されており、2つのパッケージが用意されているという。より小さなパッケージは、メールアドレスと基本的な本人確認データを含み、約550ユーロの価格が付けられている。一方で、IDドキュメントのスキャン、本人確認用セルフィー、ログイン履歴、ウォレットアドレスを含むより大きなセットは、およそ0.6 BTCである。
GateNews3時間前
Aftermath Financeがハッキングされ、Sui Networkで36分間に$1.1M USDCが盗難
Blockaidによると、Sui Network上のAftermath Financeの無期限先物契約プロトコルが継続的な攻撃を受け、約$1.1 million USDCが36分間で11件の取引を通じて盗まれた。脆弱性は、無期限先物契約の清算システムにおける手数料会計の欠陥に起因しており、攻撃者が合成担保を水増ししてプロトコルのトレジャリーから資金を引き出すことを可能にした。wh
GateNews3時間前
AIツールを装ったClawHub上の30の悪意あるプラグイン。9,800回以上ダウンロード
Manifoldの研究者Ax Sharmaによると、合法的なAIツールを装ったClawHub上の30のプラグインが、9,800回以上ダウンロードされている一方で、ユーザーのAIアシスタントをこっそりと暗号通貨の作業員に変換しています。アカウントimaflytokの下で公開されたこれらのプラグインは、通常のタスクスケジューラーや監視ツールのように見えますが、未承認の操作を実行する隠れた指示が含まれています。
GateNews4時間前
イーサリアム、48時間でスマートコントラクト攻撃4件 損失は150万ドル超
ゲート・ニュース 4月29日 — イーサリアムのメインネットでは、過去48時間に4件のスマートコントラクト攻撃が発生しました (4月27日-29日)。GoPlus Securityによると、合計損失は150万ドルを超えました。
これらの事件には、Onchain集約者コントラクトへの攻撃が含まれ、983,000ドルの損失が発生しました
GateNews6時間前
