Layer 1 網路 ZetaChain 表示，4 月 24 日的攻擊事件是針對其跨鏈訊息傳輸管道中的一個漏洞。

週一，ZetaChain 經歷了一次針對 GatewayEVM 合約的攻擊，該合約作為外部網路與 ZetaChain 應用程式之間跨鏈互動的統一入口點。

在週二發布的事後分析報告中，ZetaChain 重申此次攻擊沒有造成用戶資金損失，只有三個內部團隊錢包受到影響。總損失達 333,868 美元，主要包括 USDC 和 USDT，分佈在以太坊、Arbitrum、Base 和 BSC 四個鏈上的九筆交易中。

報告解釋說，攻擊者利用了這個側重互操作性的鏈，結合了跨鏈訊息傳輸系統中的三個問題。

ZetaChain 的跨鏈系統允許任何人以最低限制發出「任意呼叫」，而接收端的 GatewayEVM 合約接受大多數指令，包括「transferFrom」。

最後，先前透過「GatewayEVM.deposit()」存款的用戶曾授予無限的代幣花費授權，這些授權從未被撤銷。ZetaChain 解釋說，攻擊者利用這個漏洞從錢包中盜取代幣。

精心策劃的攻擊

「這不是一次投機性攻擊，」團隊表示。「攻擊者在執行前投入了大量時間和資源進行準備。」

ZetaChain 指出，攻擊者的錢包在攻擊前約三天透過 Tornado Cash 獲得資金，以故意掩蓋資金來源。

此外，攻擊者還對模仿受害者錢包的虛假地址發起了暴力破解攻擊，這是一種典型的地址投毒技術，可能用於進一步混淆惡意的鏈上活動。

在攻擊發生後，攻擊者迅速將盜取的 USDC 和 USDT 兌換成 ETH。

ZetaChain 表示，此後已向主網部署了一個補丁以消除該漏洞。其跨鏈交易功能在攻擊發生後不久暫停，目前仍處於關閉狀態，並將在升級和額外審查完成後重新啟用。

ZetaChain 表示：「作為一項預防措施，我們建議所有先前與 ZetaChain 閘道合約互動的用戶，撤銷授予上述閘道地址的任何未撤銷 ERC-20 代幣授權。」

ZetaChain 上的這次攻擊發生在 LayerZero 支援的跨鏈橋 Kelp DAO 被盜取 2.92 億美元之後。DefiLlama 數據顯示，在過去 10 天內，至少發生了 11 起針對 DeFi 協定中漏洞的攻擊事件。