Le réseau de couche 1 ZetaChain a déclaré que l'exploit du 24 avril visait une vulnérabilité dans son pipeline de messagerie inter-chaînes.
Lundi, ZetaChain a subi une attaque sur le contrat GatewayEVM, qui sert de point d'entrée unifié pour les interactions inter-chaînes entre les réseaux externes et les applications ZetaChain.
Dans un rapport post-mortem publié mardi, ZetaChain a réaffirmé qu'aucun fonds d'utilisateur n'avait été perdu lors de l'attaque, tandis que seulement trois portefeuilles d'équipe internes ont été touchés. Les pertes totales se sont élevées à 333 868 $, comprenant principalement de l'USDC et de l'USDT, sur neuf transactions réparties sur quatre chaînes : Ethereum, Arbitrum, Base et BSC.
Le rapport a expliqué que l'attaquant a profité de la chaîne axée sur l'interopérabilité en combinant trois problèmes dans le système de messagerie inter-chaînes.
Le système inter-chaînes de ZetaChain permettait à quiconque de demander des "appels arbitraires" avec un minimum de restrictions, tandis que le contrat GatewayEVM, côté récepteur, acceptait la plupart des commandes, y compris "transferFrom".
Enfin, les utilisateurs qui avaient précédemment déposé des jetons via "GatewayEVM.deposit()" avaient accordé des approbations illimitées pour dépenser les jetons, lesquelles n'avaient jamais été révoquées. L'attaquant a exploité cette faille pour siphonner les jetons des portefeuilles, a expliqué ZetaChain.
"Ce n'était pas une attaque opportuniste", a déclaré l'équipe. "L'exploiteur a investi beaucoup de temps et de ressources en préparation avant l'exécution."
ZetaChain a noté que le portefeuille de l'attaquant avait été alimenté via Tornado Cash environ trois jours avant l'attaque pour masquer délibérément la provenance des fonds.
De plus, l'exploiteur a lancé une attaque par force brute sur une adresse de vanité imitant le portefeuille d'une victime, une technique classique d'empoisonnement d'adresse probablement utilisée pour obscurcir davantage l'activité malveillante sur la chaîne.
Après l'exploit, l'attaquant a rapidement échangé les USDC et USDT volés contre de l'ETH.
ZetaChain a déclaré avoir depuis déployé un correctif sur le réseau principal (mainnet) pour éliminer la vulnérabilité. Sa fonctionnalité de transaction inter-chaînes, qui avait été mise en pause peu après l'exploit, reste fermée et sera réactivée une fois les mises à niveau et les examens supplémentaires terminés.
"Par mesure de précaution, nous recommandons à tous les utilisateurs ayant déjà interagi avec les contrats de passerelle ZetaChain de révoquer toutes les autorisations (allowances) de jetons ERC-20 en suspens accordées aux adresses de passerelle listées ci-dessus", a déclaré ZetaChain.
L'attaque sur ZetaChain fait suite à l'exploit du pont inter-chaînes Kelp DAO, alimenté par LayerZero, qui a siphonné 292 millions de dollars du protocole. Les données de DefiLlama montrent qu'il y a eu au moins 11 exploits ciblant des vulnérabilités dans les protocoles DeFi au cours des 10 derniers jours.
Avertissement : The Block est un média indépendant qui fournit des actualités, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. La bourse crypto Bitget est un LP (Limited Partner) principal pour Foresight Ventures. The Block continue de fonctionner indépendamment pour fournir des informations objectives, percutantes et opportunes sur l'industrie crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas offert ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
