Layer 1 网络 ZetaChain 表示,4月24日发生的攻击针对的是其跨链消息传递通道中的一个漏洞。
周一,ZetaChain 遭遇了对 GatewayEVM 合约的攻击,该合约是外部网络与 ZetaChain 应用之间跨链交互的统一入口点。
在周二发布的事后分析报告中,ZetaChain 重申此次攻击未造成用户资金损失,仅影响了三个内部团队钱包。总损失为 333,868 美元,主要包括 USDC 和 USDT,涉及以太坊、Arbitrum、Base 和 BSC 四条链上的九笔交易。
报告解释称,攻击者利用了该跨链互操作链的三个问题,在跨链消息系统中协同实施了攻击。
ZetaChain 的跨链系统允许任何人以最低限制请求”任意调用”,而接收端的 GatewayEVM 合约接受大多数命令,包括”transferFrom”。
此外,之前通过”GatewayEVM.deposit()”存入代币的用户曾授予无限额的代币使用权限,且从未撤销。ZetaChain 表示,攻击者利用这一漏洞从钱包中窃取了代币。
高度准备的攻击
该团队表示:”这并非一次机会主义攻击。攻击者在执行攻击前投入了大量时间和资源进行准备。”
ZetaChain 指出,攻击者的钱包在攻击发生前约三天通过 Tornado Cash 获得资金,以故意掩盖资金来源。
此外,攻击者对模拟受害者钱包的 vanity 地址进行了暴力攻击,这是一种经典的地址投毒技术,很可能用于进一步混淆链上的恶意活动。
攻击发生后,攻击者迅速将被盗的 USDC 和 USDT 兑换为 ETH。
ZetaChain 表示已向主网部署了补丁以消除该漏洞。其跨链交易功能在攻击发生后不久被暂停,目前仍处于关闭状态,将在完成升级和额外审查后重新启用。
ZetaChain 表示:”作为预防措施,我们建议所有之前与 ZetaChain 网关合约交互过的用户撤销授予上述网关地址的任何未结 ERC-20 代币授权。”
此次对 ZetaChain 的攻击紧随基于 LayerZero 的跨链桥 Kelp DAO 被攻击之后,后者损失高达 2.92 亿美元。DefiLlama 数据显示,过去 10 天内至少有 11 起针对 DeFi 协议漏洞的攻击事件。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/29/zetachain-cross-chain-messaging-loophole-exploit-post-mortem/
