Уязвимость ZetaChain была заранее обнаружена белыми хакерами, но игнорирована, что в итоге привело к атаке на сумму 334 000 долларов США

BlockBeats новости, 29 апреля, протокол межцепочечной передачи ZetaChain раскрыл, что в недавней атаке на уязвимость на сумму около 334 000 долларов США были выявлены связанные с безопасностью проблемы, которые исследователи заранее сообщили в программу наград за обнаружение уязвимостей, но в то время проект посчитал их «предсказуемым поведением» и не предпринял мер. Согласно опубликованному официальным отчету о разборе инцидента, эта атака возникла из-за комбинации трех, казалось бы, независимых и менее рискованных проектных дефектов:

Контракт Gateway позволяет любому отправлять произвольные межцепочечные команды;
Получающая сторона практически может выполнять вызовы к любым контрактам, а ограничения в черных списках слишком узки;
Некоторые кошельки долгое время хранят неограниченные разрешения (Unlimited Approval), которые не были очищены.

В конечном итоге злоумышленник, сочетая эти дефекты, указал Gateway на прямой перевод токенов на его управляемый адрес, что позволило ему осуществить перевод активов. ZetaChain заявил, что в этой атаке было задействовано 9 транзакций на четырех цепочках: Ethereum, Arbitrum, Base и BSC, украденные средства поступили с кошельков, контролируемых ZetaChain, а пользовательские средства не пострадали.

Официально отмечается, что эта атака носит явно преднамеренный характер. Злоумышленник за три дня до совершения преступления пополнил свой кошелек через Tornado Cash и заранее развернул специальный контракт Drainer, а также провел атаку по загрязнению адресов (Address Poisoning).

В настоящее время ZetaChain начал отправлять исправления на узлы основной сети, навсегда отключил функцию произвольных вызовов (arbitrary call) и заменил механизм неограниченных разрешений в процессе депозита на «точное разрешение по лимиту».