Laporan Kerentanan ZetaChain Dilaporkan oleh White Hat tetapi Diabaikan, Mengakibatkan Serangan sebesar $334.000

Pada 29 April, protokol lintas rantai ZetaChain mengungkapkan bahwa masalah keamanan yang terlibat dalam serangan kerentanan sekitar $334.000 baru-baru ini telah dilaporkan sebelumnya oleh seorang peneliti melalui program bug bounty-nya, tetapi diabaikan oleh tim proyek sebagai ‘perilaku yang diharapkan’ saat itu. Menurut tinjauan insiden resmi, serangan tersebut berasal dari kombinasi tiga cacat desain yang awalnya tampak independen dan berisiko rendah: kontrak Gateway memungkinkan siapa saja mengirim instruksi lintas rantai sembarangan; pihak penerima dapat mengeksekusi panggilan pada hampir semua kontrak, dengan pembatasan daftar hitam yang terlalu sempit; dan beberapa dompet mempertahankan persetujuan tak terbatas yang tidak dibersihkan. Penyerang akhirnya memanfaatkan cacat ini untuk menginstruksikan Gateway mentransfer token langsung ke alamat yang mereka kendalikan, menyelesaikan transfer aset. ZetaChain menyatakan bahwa serangan tersebut melibatkan sembilan transaksi di empat rantai: Ethereum, Arbitrum, Base, dan BSC, dengan dana yang dicuri semuanya berasal dari dompet yang dikendalikan oleh ZetaChain, dan dana pengguna tidak terpengaruh. Laporan resmi menunjukkan bahwa serangan tersebut jelas direncanakan sebelumnya. Penyerang membiayai dompet mereka melalui Tornado Cash tiga hari sebelum serangan, mengerahkan kontrak Drainer khusus sebelumnya, dan juga melakukan serangan pencemaran alamat. ZetaChain telah mulai mengeluarkan patch ke node mainnet, secara permanen menonaktifkan fitur panggilan sembarangan dan mengubah mekanisme persetujuan tak terbatas dalam proses deposit menjadi ‘otorisasi jumlah tepat.’