脆弱性分析

Zodiac チームは、Zodiac Roles Modifier に影響を与えるセキュリティ事件の分析報告を発表しました。報告書では、ERC-1271 の取引署名検証ロジックに欠陥があることが明らかにされました：システムは返された "magic value" のみを基に署名の有効性を判断し、呼び出し自体が成功したかどうかを検証していないため、失敗した検証を有効な署名として偽装し、モジュール認証メカニズムを回避する可能性があります。

慢雾は、ZetaChainが攻撃を受けたことを発表し、初期分析ではGatewayZEVM契約のcall関数にアクセス制御と入力検証が欠如していることが脆弱性の根源であることを示しています。攻撃者はこれを利用して悪意のあるクロスチェーン呼び出しを行い、中継メカニズムを通じてターゲットチェーンで任意の操作を実行し、資金を移転することができます。慢雾は、攻撃者が偽のクロスチェーンイベントを偽造して中継器に悪意のある呼び出しを実行させ、資金を盗むことを完了したと述べており、現在関連する攻撃取引は公開されています。

BlockSecは、クローズドソースの契約に関する重大な脆弱性分析を発表しました。彼らは、Ethereum、Arbitrum、Base、BSC上に展開されたSwapNetとAperture Financeの被害契約に対する一連の疑わしい取引を検出し、総損失は1700万ドルを超えています。根本的に言えば、これら二つの事件の根源は非常にシンプルです。被害契約は入力検証が不十分であり、任意の呼び出しの脆弱性が存在します。攻撃者はこの脆弱性を利用して、既存のトークンの承認を悪用し、transferFromを通じて資産を盗むことができます。SwapNetとAperture Financeの事件は異なるプロトコルとブロックチェーンに影響を与えましたが、両者の根本的な問題は複雑ではありません：ユーザーが制御する基盤の呼び出しと、トークン承認を持つ契約における入力検証の不十分さです。