ZetaChain: الإبلاغ عن ثغرة في الرسائل عبر السلاسل، خسارة بقيمة $333,868 من هجوم 24 أبريل

رسالة أخبار بوابة، 29 أبريل — أصدرت ZetaChain تقريرًا بعد الحادثة (post-mortem) يؤكد أن هجوم 24 أبريل استغل ثغرات في خط رسائلها عبر السلاسل (cross-chain messaging pipeline). أسفر الحادث عن خسارة إجمالية قدرها $333,868 (بشكل أساسي USDC و USDT) عبر تسع معاملات على Ethereum وArbitrum وBase وBSC. لم يتأثر سوى ثلاثة محافظ تابعة لفريق داخلي، دون أن تتأثر أموال المستخدمين.

استغل الهجوم ثلاث ثغرات مترابطة: سمح نظام عبر السلاسل بإجراء “نداءات تعسفية” (arbitrary calls) مع قيود دنيا؛ وقام عقد GatewayEVM في الجهة المستقبلة بقبول معظم الأوامر، بما في ذلك “transferFrom”؛ وحصل المستخدمون الذين أودعوا رموزًا عبر “GatewayEVM.deposit()” على موافقات غير محدودة وغير قابلة للإلغاء استغلها المهاجم لاستخراج الرموز من المحافظ.

لاحظت ZetaChain أن المهاجم لم يكن انتهازيًا (opportunistic)، بل كان قد استثمر وقتًا وموارد كبيرة في التحضير، بما في ذلك تمويل محفظة عبر Tornado Cash قبل الهجوم بثلاثة أيام وإجراء هجمات بالقوة الغاشمة (brute-force) للتظاهر بعناوين الضحايا. قامت البروتوكول بنشر ترقيعات (patches)، وستظل وظيفة المعاملات عبر السلاسل معطلة حتى اكتمال التحديثات والتدقيقات (audits).