ZetaChain desestimó un informe de error que podría haber evitado una explotación de $334K
La explotación de $334K de ZetaChain provino de un informe de error desestimado, lo que provocó una revisión de su manejo de recompensas por errores.Resumen
ZetaChain ha reconocido que una vulnerabilidad explotada que resultó en una pérdida de $334,000 había sido previamente reportada a través de su programa de recompensas por errores, pero fue desestimada como comportamiento intencionado. El incidente ha llevado a la plataforma a revisar su proceso de gestión de envíos de recompensas por errores, particularmente para vectores de ataque en cadena. El atacante explotó tres fallos de diseño: instrucciones arbitrarias y sin restricciones para transferencias entre cadenas, ejecución permisiva de casi cualquier comando en el lado receptor y permisos de gasto ilimitados no revocados en billeteras previamente utilizadas. Al combinar estos, el atacante pudo transferir fondos de billeteras de víctimas a las suyas. ZetaChain afirmó que el ataque fue premeditado, con el atacante utilizando Tornado Cash y desplegando un contrato de extracción dedicado. Se está implementando un parche para deshabilitar la funcionalidad de llamada arbitraria, y las aprobaciones de tokens ilimitadas han sido reemplazadas por aprobaciones de cantidad exacta.
(Fuente:Cointelegraph)