BlockBeats новости, 29 апреля, протокол межцепочечной передачи ZetaChain раскрыл, что в недавней атаке на уязвимость на сумму около 334 000 долларов США были выявлены связанные с безопасностью проблемы, которые исследователи заранее сообщили в программу наград за обнаружение уязвимостей, но в то время проект посчитал их «предсказуемым поведением» и не предпринял мер. Согласно опубликованному официальным отчету о разборе инцидента, эта атака возникла из-за комбинации трех, казалось бы, независимых и менее рискованных проектных дефектов:
Контракт Gateway позволяет любому отправлять произвольные межцепочечные команды;
Получающая сторона практически может выполнять вызовы к любым контрактам, а ограничения в черных списках слишком узки;
Некоторые кошельки долгое время хранят неограниченные разрешения (Unlimited Approval), которые не были очищены.
В конечном итоге злоумышленник, сочетая эти дефекты, указал Gateway на прямой перевод токенов на его управляемый адрес, что позволило ему осуществить перевод активов. ZetaChain заявил, что в этой атаке было задействовано 9 транзакций на четырех цепочках: Ethereum, Arbitrum, Base и BSC, украденные средства поступили с кошельков, контролируемых ZetaChain, а пользовательские средства не пострадали.
Официально отмечается, что эта атака носит явно преднамеренный характер. Злоумышленник за три дня до совершения преступления пополнил свой кошелек через Tornado Cash и заранее развернул специальный контракт Drainer, а также провел атаку по загрязнению адресов (Address Poisoning).
В настоящее время ZetaChain начал отправлять исправления на узлы основной сети, навсегда отключил функцию произвольных вызовов (arbitrary call) и заменил механизм неограниченных разрешений в процессе депозита на «точное разрешение по лимиту».
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
HKMA предупреждает о мошеннических токенах, выдающих себя за лицензированных эмитентов стейблкоинов, 28 апреля
Валютное управление Гонконга (HKMA) выпустило публичное предупреждение 28 апреля в связи с мошенническими цифровыми токенами, которые обращаются под именами двух недавно получивших лицензии эмитентов стейблкоинов. Токены с тикерами "HKDAP" и "HSBC" появились на рынке без разрешения со стороны Anchorpoint Financial Limited или The Hongkong and Shanghai Banking Corporation Limited, обе из которых получили первые в Гонконге лицензии эмитента стейблкоинов 10 апреля. HSBC подтвердил, что не имеет никакого отношения к каким-либо токенам, которые в настоящее время используют его название, и уточнил, что его планируемый стейблкоин, номинированный в гонконгских долларах, по-прежнему находится в стадии подготовки к запуску во второй половине 2026 года. После выпуска продукт будет доступен исключительно через PayMe и приложение HSBC HK Mobile Banking. Anchorpoint также аналогичным образом подтвердил, что не выпускал какие-либо продукты стейблкоина для широкой публики.
GateNews18м назад
Данные клиентов Zondacrypto выставлены на продажу в даркнете за 550 евро и 0,6 BTC
Согласно Bitcoin.pl, данные клиентов обанкротившейся польской биржи Zondacrypto были выставлены на продажу в даркнете: доступно два пакета. Меньший пакет, содержащий адреса электронной почты и базовые данные идентификации, стоит примерно 550 евро, тогда как более крупный набор, включая
GateNews3ч назад
Aftermath Finance Взломана: $1,1 млн USDC украдено за 36 минут в сети Sui Network
Согласно Blockaid, протокол бессрочных контрактов Aftermath Finance в сети Sui Network подвергся продолжающейся атаке: примерно $1,1 млн USDC было похищено с помощью 11 транзакций за 36 минут. Уязвимость возникла из-за дефекта в учете комиссий в системе ликвидации бессрочных контрактов, который позволил злоумышленникам завышать синтетическое обеспечение и выводить средства из казначейства протокола, wh
GateNews3ч назад
30 вредоносных плагинов на ClawHub, замаскированных под AI-инструменты, скачаны более 9 800 раз
Согласно исследователю Manifold Акс Шарме, 30 плагинов на ClawHub, замаскированных под легитимные AI-инструменты, были скачаны более 9 800 раз, при этом тайно превращая AI-ассистентов пользователей в криптовалютных работников. Плагины, опубликованные под аккаунтом imaflytok, выглядят как обычные планировщики задач и инструменты мониторинга, однако содержат скрытые инструкции, которые выполняют несанкционированные операции.
После установки плагины автоматически регистрируют AI-ассистентов пользователей на сторонних серверах, создают криптовалютные кошельки и извлекают приватные ключи без согласия и уведомления пользователя. Затем ассистенты выходят на связь каждые 4 часа в ожидании назначенных задач. Шарма отметил, что плагины не содержат вредоносного кода, который можно обнаружить с помощью сканеров безопасности: они используют только стандартные интерфейсы и легитимные инструменты, из-за чего их сложно выявить при обычных проверках безопасности.
GateNews4ч назад
Ethereum Suffers 4 Smart Contract Attacks in 48 Hours, Losses Exceed $1.5 Million
Gate News message, April 29 — Ethereum mainnet experienced four smart contract attacks over the past 48 hours (April 27-29), resulting in combined losses exceeding $1.5 million, according to GoPlus Security.
The incidents included an attack on the Onchain aggregator contract causing $983,000 in los
GateNews6ч назад
