ZetaChain漏洞利用：漏洞赏金报告被驳回，3384万美元级跨链盗取前已被提交

ZetaChain 表示，其在遭遇 33.4 万美元 ZetaChain exploit（漏洞利用）之前，相关漏洞已通过漏洞赏金计划（bug bounty program）被上报，但被以“符合预期行为”为由驳回。在复盘中，团队称该事件暴露了其对多步骤、串联（chained）的跨链攻击链路进行研判与分流的不足。 此次 ZetaChain exploit 瞄准其跨链网关合约，攻击者通过九笔交易在以太坊（Ethereum）、Arbitrum、Base 以及 BSC 上从 ZetaChain 控制的钱包中抽走资金。ZetaChain 称未影响用户资金。 ZetaChain 指出，三项设计缺陷叠加形成完整资金抽取链条：(1) 网关允许不受限制的跨链指令；(2) 接收端几乎可在几乎任意合约上执行命令，而过窄的黑名单漏掉了基础代币转账等路径；(3) 旧钱包保留了从未清理的无限额度代币授权。 ZetaChain 认为该攻击并非纯“机会型”。据称攻击者在事发前三天通过 Tornado Cash 为钱包注资，部署了定制 drainer 合约，并通过尘埃转账进行地址投毒。 缓解措施包括通过补丁永久禁用网关的任意调用功能，并将存款流程从“无限授权”改为“仅授权精确金额”。对交易者而言，关键点是：若漏洞赏金流程无法更好识别并建模串联跨链滥用链条，ZetaChain exploit 风险可能反复出现。