분석: ZetaChain 취약점은 화이트 해커에 의해 사전에 보고되었으나 무시되어 결국 33.4만 달러의 공격 사건으로 이어졌다

코인텔레그래프에 따르면, 크로스 체인 프로토콜 ZetaChain은 최근 약 33.4만 달러의 취약점 공격 사건과 관련된 보안 문제가 취약점 보상 프로그램에서 연구자에 의해 사전에 보고되었으나, 당시 프로젝트 측에서 "예상된 행동"으로 간주되어 처리되지 않았다고 밝혔습니다.

공식 발표된 사고 복기 자료에 따르면, 이번 공격은 원래 독립적이고 위험이 낮아 보였던 세 가지 설계 결함 조합에서 발생했습니다: Gateway 계약은 누구나 임의의 크로스 체인 지시를 보낼 수 있도록 허용합니다; 수신 측은 거의 모든 계약에 대해 호출을 실행할 수 있으며, 블랙리스트 제한이 지나치게 좁습니다; 일부 지갑은 장기간 동안 무한 승인(Unlimited Approval)을 유지하고 있었습니다. 공격자는 결국 이러한 결함을 조합하여 Gateway에 토큰을 직접 자신의 제어 주소로 전송하도록 지시하여 자산 이전을 완료했습니다.

ZetaChain은 이번 공격이 Ethereum, Arbitrum, Base 및 BSC 네 개 체인에서 총 9건의 거래와 관련이 있으며, 도난당한 자금은 모두 ZetaChain이 제어하는 지갑에서 나온 것이며, 사용자 자금은 영향을 받지 않았다고 밝혔습니다. 공식 측은 이번 공격이 명백한 계획성을 가지고 있다고 언급했습니다. 공격자는 범행 3일 전 Tornado Cash를 통해 지갑에 자금을 주입하고, 전용 Drainer 계약을 미리 배포했으며, 주소 오염(Address Poisoning) 공격도 수행했습니다.

현재 ZetaChain은 메인넷 노드에 수정 패치를 푸시하기 시작했으며, 임의 호출(arbitrary call) 기능을 영구적으로 비활성화하고, 예치 과정에서의 무한 승인 메커니즘을 "정확한 한도 승인"으로 변경했습니다.