导致 ZetaChain 近期遭遇攻击的漏洞,在攻击发生前就已通过其漏洞赏金计划被标记,但当时被认定为预期行为。
团队在周三发布的一份事后 报告中表示,此次事件促使其重新审视漏洞赏金提交的处理方式,尤其是涉及链式攻击向量的报告。这类漏洞单独看似无害,但组合起来可能具有危险性。
“这个漏洞已经被报告了,他们却直接忽略了,”一位用户在 X 上写道。“这就是这些协议目前处理漏洞赏金计划的方式;它们激励的是协议、TVL 和用户余额的损失,而不是为发现并修复漏洞的研究人员付费,”他们补充道。
ZetaChain 周日遭遇一场预谋攻击,损失约334000美元,攻击目标是其跨链网关合约。此次攻击通过四条链上的九笔交易抽走资金,涉及 Ethereum、Arbitrum、Base 和 BSC,且全部来自 ZetaChain 控制的钱包。没有用户资金受到影响。
攻击者利用小型设计缺陷
ZetaChain 在事后报告中表示,攻击者利用了三个设计缺陷,这些缺陷单独看可能并不起眼,但合在一起却打开了资金被完全抽干的大门。首先,网关允许任何人发送任意跨链指令,且没有任何限制。其次,在接收端,它几乎可以在任何合约上执行任何命令,而其黑名单范围极窄,甚至遗漏了基础的代币转账函数。
第三,曾经使用过该网关的钱包保留了无限额度的支出权限,而且从未被清理。攻击者将三者结合后,直接让网关把代币从受害者钱包转到自己的钱包,网关照做了。
来源: ZetaChain
“这不是一次机会主义攻击,”ZetaChain 在事后报告中表示。攻击者在攻击发生前三天通过 Tornado Cash 为其钱包注资,在 ZetaChain 上部署了一个专门设计的清空合约,并在通过尘埃转账将其写入交易历史之前,先发起了一场地址投毒活动。
ZetaChain 补充称,一项永久禁用任意调用功能的补丁正在向主网节点部署。该平台还已从其存款流程中移除无限代币授权,改为今后采用精确金额授权。
AI DeFi 攻击成功率上升
a16z 一项新研究测试了现成的 AI 代理是否不仅能识别 DeFi 漏洞,还能实际生成可运行的攻击代码。研究人员使用 OpenAI 的 Codex,对包含20起真实 Ethereum 价格操纵事件的数据集进行测试,并将该代理置于沙盒环境中,既无法访问未来交易数据,也没有关于攻击机制的任何指导。结果显示,该代理仅在10%的案例中成功。
不过,当研究人员向该代理输入有关常见攻击模式和攻击流程的结构化知识后,成功率跃升至70%。
