ZetaChain 漏洞曾被白帽提前報告但遭忽視,最終導致 33.4 萬美元攻擊事件
By: rootdata|2026/04/29 19:53:23
0
分享
ChainCatcher 消息,跨鏈協議 ZetaChain 披露,其近期約 33.4 萬美元漏洞攻擊事件所涉及的安全問題,曾在漏洞賞金計劃中被研究員提前報告,但當時被項目方視為"預期行為"而未處理。
根據官方發布的事故復盤,本次攻擊源於三個原本看似獨立、風險較低的設計缺陷組合:Gateway 合約允許任何人發送任意跨鏈指令;接收端幾乎可對任意合約執行調用,且黑名單限制過於狹窄;部分錢包長期保留無限授權(Unlimited Approval)未被清理。攻擊者最終通過組合這些缺陷,指示 Gateway 將代幣直接轉入其控制地址,從而完成資產轉移。
ZetaChain 表示,此次攻擊共涉及 Ethereum、Arbitrum、Base 與 BSC 四條鏈上的 9 筆交易,被盜資金均來自 ZetaChain 控制的錢包,用戶資金未受影響。官方稱,該攻擊具有明顯預謀性。攻擊者在作案前三天便通過 Tornado Cash 為錢包注資,並提前部署專用 Drainer 合約,同時還實施了地址污染(Address Poisoning)攻擊。目前,ZetaChain 已開始向主網節點推送修復補丁,永久禁用任意調用(arbitrary call)功能,並將存款流程中的無限授權機制改為"精確額度授權"。
猜你喜歡
Polymarket 交易策略屍檢報告:20 多個方向,「活」下來的只有 4 個
歷時三個月、試遍 20 余種策略,大多死於市場效率、成本結構和數據幻覺。
DeFi 借貸的不可能兩角
借款人希望固定利率,放貸方追求即時流動性,這是鏈上借貸的魚與熊掌,二者不可兼得。
重新審視 RWA:近5萬人第一筆鏈上交易不是比特幣,而是股指和原油
RWA的敘事,不是傳統來搶加密的用戶,而是加密去搶傳統的用戶。
預言機:預測市場大戰背後的第二戰場
預言機賽道走到 2026 年,本質上已從早期的“數據管道”,演進為支撐整個鏈上經濟的“可驗證事實層”,而預測市場是觀察這片紅海競爭的放大鏡。
a16z 重點押注:Kalshi 周交易額逼近 30 億美元,從“預測遊戲”到金融基礎設施,市場開始給“不確定性”定價
預測市場的演進:從邊緣產品到「不確定性定價」基礎設施
早報 | Galaxy Digital 公布 2026 年 Q1 財報;Liquid 完成 1800 萬美元 A 輪融資;Polymarket 擬將主要交易所引入美國
4 月 28 日市場重要事件一覽
從封號經濟學家到新火首席:付鵬把下半場流量玩明白了
這場在加密圈鬧得沸沸揚揚的風波,表面上是一個傳統經濟學家和幣圈 OG 之間的文化衝突,往深處看,不過是新火藉助付鵬在傳統金融圈的影響力,撬動一批原本難以觸達的客戶資金。
資深加密投資人:區塊鏈對資本正呈現虹吸效應
穩定幣是第一個上鏈的現實世界資產,但不會是最後一個。每 10 億美元穩定幣每年產生 1220 億美元經濟活動和 1900 萬美元協議收入,資本一旦上鏈就有了生產力,不再回頭。
為什麼私人信貸成為 TradFi 到 DeFi 的第一個真正橋樑
揭秘私人信貸領跑RWA的核心邏輯:不再是簡單的代幣化包裝,而是憑藉真實收益與DeFi生態的深度融合,真正重塑了資產上鏈的實用價值
當傳統加密衍生品開始做減法:Hyper Trade 的產品啟示
告別複雜合約,加密衍生品開始“做減法”:一文拆解 Hyper Trade 如何將硬核的風險定價降維成“秒級選擇題”,重塑散戶交易新體驗
我對區塊鏈的看法變了
對區塊鏈應用價值與時間維度的深度思考
AI Agent 會用銀行卡嗎?Agentic Payment 為什麼繞不開穩定幣和區塊鏈
AI Agent 為什麼不能只刷銀行卡?一文看懂支付系統新分層:穩定幣與區塊鏈正在成為「機器經濟」時代專屬的結算語言與可驗證信任底座
拆解全球 80 家主流支付機構與錢包
全球支付百強榜大起底。支付寶微信領銜,帶你一文看透80+頂級玩家背後的商業邏輯與護城河。
加密貨幣牌照的 MiCA 快車道:OKX、BVNK 為什麼都選馬耳他
歐盟MiCA發牌倒計時:為什麼OKX等加密巨頭都把“首牌”選在馬耳他?一文深度拆解CASP牌照申請流程、業務組合邏輯與合規避坑指南
a16z Crypto:穩定幣正在重建全球金融基礎設施
穩定幣正從加密交易工具,演變為全球金融的新基礎設施。它不僅改變跨境支付,也正在推動銀行連接、企業金融、外匯流動性、鏈上信貸和美元全球化進入新階段。
ENI 的 RWA 野心:打造企業級 BaaS 平台,讓 Web2 機構「不止資產上鏈」
RWA 1.0 和 RWA 2.0 有何不同?
早報 | a16z 發布全球金融新棧報告;Websea 提現通道關閉疑似跑路;Strategy 上週購入 3273 枚比特幣
4 月 27 日市場重要事件一覽
最 Crypto 的那批人,正在變得最不 Crypto
香港嘉年華 × 曼谷 Money 20/20 觀察手記
Polymarket 交易策略屍檢報告:20 多個方向,「活」下來的只有 4 個
歷時三個月、試遍 20 余種策略,大多死於市場效率、成本結構和數據幻覺。
DeFi 借貸的不可能兩角
借款人希望固定利率,放貸方追求即時流動性,這是鏈上借貸的魚與熊掌,二者不可兼得。
重新審視 RWA:近5萬人第一筆鏈上交易不是比特幣,而是股指和原油
RWA的敘事,不是傳統來搶加密的用戶,而是加密去搶傳統的用戶。
預言機:預測市場大戰背後的第二戰場
預言機賽道走到 2026 年,本質上已從早期的“數據管道”,演進為支撐整個鏈上經濟的“可驗證事實層”,而預測市場是觀察這片紅海競爭的放大鏡。
a16z 重點押注:Kalshi 周交易額逼近 30 億美元,從“預測遊戲”到金融基礎設施,市場開始給“不確定性”定價
預測市場的演進:從邊緣產品到「不確定性定價」基礎設施
早報 | Galaxy Digital 公布 2026 年 Q1 財報;Liquid 完成 1800 萬美元 A 輪融資;Polymarket 擬將主要交易所引入美國
4 月 28 日市場重要事件一覽
