- ZetaChain dijo que los atacantes aprovecharon una laguna cruzada en la red el pasado lunes.
- La red confirmó que los fondos de los usuarios seguían a salvo a pesar de una pérdida de 334.000 dólares.
- El atacante alineó 3 problemas en el sistema de mensajería cross-chain para explotar ZetaChain.
La red de Capa 1 ZetaChain confirmó oficialmente un exploit dirigido en su plataforma que implicaba una preparación deliberada, incluyendo la financiación de Tornado Cash y la suplantación de direcciones de la cartera.
334.000 dólares robados a través de cuatro cadenas
En su última publicación en X, el equipo de ZetaChain afirmó que el ataque afectó a funcionalidades específicas de llamadas arbitrarias de GatewayEVM, lo que resultó en aproximadamente 334.000 dólares en pérdidas en cuatro cadenas conectadas.
Sin embargo, la red blockchain señaló que el exploit no afectó a las transferencias ZETA entre cadenas ni a los fondos de los usuarios. Según la plataforma, todas las carteras afectadas por el ataque estaban controladas por ZetaChain. Mientras tanto, el equipo desplegó inmediatamente un parche de mainnet y prometió reactivar las transacciones intercadena suspendidas tras continuar la monitorización.
¿Qué ocurrió en el ataque?
El ataque en cuestión ocurrió el lunes 27 de abril, cuando el atacante supuestamente alineó tres problemas en el sistema de mensajería entre cadenas y aprovechó la cadena centrada en la interoperabilidad. Posteriormente, el sistema cross-chain de ZetaChain permitía a cualquiera solicitar «llamadas arbitrarias» con restricciones mínimas. Mientras tanto, el contrato GatewayEVM en el lado receptor aceptaba la mayoría de los comandos, incluido «transferFrom.»
La parte final del ataque implicó que usuarios que previamente habían depositado tokens a través de «GatewayEVM.deposit()» recibieran aprobaciones ilimitadas para gastar tokens sin revocación. Según ZetaChain, el atacante aprovechó esta laguna legal para desviar los tokens de las carteras.
El equipo de ZetaChain descubrió que el explotador invirtió un tiempo y recursos significativos en la preparación antes de ejecutar el ataque. El equipo afirmó que el atacante tardó tres días en financiar su cartera a través de Tornado Cash, en un intento de ocultar la fuente de los fondos. Mientras tanto, el ataque propiamente dicho consistía en lanzar un ataque de fuerza bruta sobre una dirección personalizada, imitando la cartera de una víctima, reflejando una técnica clásica de envenenamiento de direcciones que podría ocultar aún más la actividad maliciosa en cadena.
ZetaChain tranquiliza a los usuarios
Mientras tanto, ZetaChain recomendó que los usuarios que hayan interactuado previamente con los contratos de gateway de ZetaChain revocen cualquier permiso pendiente de token ERC-20 concedido a las direcciones de gateway identificadas. El equipo de la red afirmó que la medida es preventiva, para garantizar que los fondos de los usuarios sigan protegidos.
La red tranquilizó a los usuarios sobre su compromiso con el ecosistema y su hoja de ruta y misión original a largo plazo que permanecen sin cambios.
Relacionado: Predicción de precios de ZetaChain (ZETA) 2024-2030: ¿Romperá ZETA nuevos máximos?
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
