分析：ZetaChain 漏洞曾被白帽提前報告但遭忽視，最終導致 33.4 萬美元攻擊事件

ChainCatcher 消息，据 Cointelegraph 報導，跨鏈協議 ZetaChain 披露，其近期約 33.4 萬美元漏洞攻擊事件所涉及的安全問題，曾在漏洞賞金計畫中被研究員提前報告，但當時被項目方視為"預期行為"而未處理。

根據官方發布的事故復盤，本次攻擊源於三個原本看似獨立、風險較低的設計缺陷組合：Gateway 合約允許任何人發送任意跨鏈指令；接收端幾乎可對任意合約執行調用，且黑名單限制過於狹窄；部分錢包長期保留無限授權（Unlimited Approval）未被清理。攻擊者最終通過組合這些缺陷，指示 Gateway 將代幣直接轉入其控制地址，從而完成資產轉移。

ZetaChain 表示，此次攻擊共涉及 Ethereum、Arbitrum、Base 與 BSC 四條鏈上的 9 筆交易，被盜資金均來自 ZetaChain 控制的錢包，用戶資金未受影響。官方稱，該攻擊具有明顯預謀性。攻擊者在作案前三天便通過 Tornado Cash 為錢包注資，並提前部署專用 Drainer 合約，同時還實施了地址污染（Address Poisoning）攻擊。

目前，ZetaChain 已開始向主網節點推送修復補丁，永久禁用任意調用（arbitrary call）功能，並將存款流程中的無限授權機制改為"精確額度授權"。