快链头条 消息，4 月 29 日，ZetaChain 于近日发布事后分析报告，确认 4 月 24 日的攻击事件源于其跨链消息传递管道中的漏洞。攻击者利用了三个相互关联的问题：跨链系统允许发起「任意调用」且限制极少；接收端的 GatewayEVM 合约接受了包括「transferFrom」在内的大多数命令；此前用户通过「GatewayEVM.deposit()」存入代币时授予了未撤销的无限制授权，攻击者借此从钱包中提取了代币。

此次攻击共涉及以太坊、Arbitrum、Base 和 BSC 四条链上的 9 笔交易，总损失为 333,868 美元（主要为 USDC 和 USDT），仅影响三个内部团队钱包，无用户资金损失。ZetaChain 表示，攻击者并非机会主义者，而是投入了大量时间和资源进行准备，包括在攻击前三天通过 Tornado Cash 为钱包提供资金，并发动了暴力破解攻击以模仿受害者地址。目前 ZetaChain 已部署补丁，跨链交易功能在完成升级和审查前将保持关闭。