ZetaChain驳回了可能阻止33.4万美元漏洞利用的错误报告
内容摘要
ZetaChain承认,导致33.4万美元损失的漏洞此前已通过其漏洞赏金计划报告,但被视为预期行为而被驳回。此次事件促使该平台审查其漏洞赏金提交流程,特别是针对组合攻击向量的报告。攻击者利用了三个设计缺陷:无限制的任意跨链指令、接收端的宽松执行以及先前使用过的钱包上遗留的无限期支出权限。通过结合这些缺陷,攻击者能够将代币从受害者钱包转移到自己的钱包。ZetaChain表示,此次攻击是预谋的,攻击者使用了Tornado Cash并部署了专用的提取器合约。目前正在推出禁用任意调用功能的补丁,并将无限期代币批准替换为精确金额批准。
(来源:Cointelegraph)