分析：ZetaChainの脆弱性はホワイトハットによって事前に報告されたが無視され、最終的に33.4万ドルの攻撃事件を引き起こした。

Cointelegraph の報道によると、クロスチェーンプロトコル ZetaChain は、最近約 33.4 万ドルの脆弱性攻撃事件に関与するセキュリティ問題が、脆弱性報奨金プログラムで研究者によって事前に報告されていたが、その時点ではプロジェクト側によって「予期される動作」と見なされ、対処されなかったことを明らかにしました。

公式に発表された事故の振り返りによれば、今回の攻撃は、元々独立しているように見え、リスクが低い設計欠陥の組み合わせから発生しました：Gateway コントラクトは誰でも任意のクロスチェーン指示を送信できる；受信側はほぼ任意のコントラクトに対して呼び出しを実行でき、ブラックリストの制限が狭すぎる；一部のウォレットは長期間無限の承認（Unlimited Approval）を保持しており、清掃されていなかった。攻撃者は最終的にこれらの欠陥を組み合わせて、Gateway にトークンを直接自分の制御アドレスに転送させ、資産の移転を完了しました。

ZetaChain は、この攻撃が Ethereum、Arbitrum、Base、BSC の 4 つのチェーン上で 9 件の取引に関与しており、盗まれた資金はすべて ZetaChain が管理するウォレットから来ており、ユーザーの資金には影響がなかったと述べています。公式は、この攻撃が明らかに計画的であるとしています。攻撃者は犯行の 3 日前に Tornado Cash を通じてウォレットに資金を注入し、専用の Drainer コントラクトを事前に展開し、さらにアドレス汚染（Address Poisoning）攻撃を実施しました。

現在、ZetaChain はメインネットノードに修正パッチをプッシュし、任意呼び出し（arbitrary call）機能を永久に無効化し、預金プロセスにおける無限承認メカニズムを「正確な額の承認」に変更し始めています。