这条消息更适合放在宏观和风险偏好里看,不只是行业内新闻。
先看这条消息最重要的地方
- ZetaChain 价值 334,000 美元的漏洞背后的漏洞已在攻击发生前通过…
- 导致 ZetaChain 最近被利用的漏洞在攻击之前已通过其错误赏金计划进行了标…
- 在周三发布的事后分析中,该团队表示,该事件促使人们对其处理漏洞赏金提交的方式进行…
事件本身说了什么
ZetaChain 价值 334,000 美元的漏洞背后的漏洞已在攻击发生前通过其漏洞赏金计划进行了报告,但被驳回。
导致 ZetaChain 最近被利用的漏洞在攻击之前已通过其错误赏金计划进行了标记,但被视为预期行为而被驳回。
在周三发布的事后分析中,该团队表示,该事件促使人们对其处理漏洞赏金提交的方式进行审查,特别是涉及链式攻击向量的报告,这些攻击向量单独来看可能无害,但组合起来却很危险。
一位用户在 X 上写道:“这个 bug 被报告了,但他们只是忽略了它。”“这就是 bug 赏金计划目前与这些协议一起工作的方式;它们激励协议、TVL 和用户余额的损失,而不是向研究人员支付发现和修复 bug 的费用,”他们补充道。
ZetaChain 周日因针对其跨链网关合约的预谋攻击而损失了约 334,000 美元。该漏洞利用了以太坊、Arbitrum、Base 和 BSC 等 4 条链上的 9 笔交易的资金,所有交易均来自 ZetaChain 控制的钱包。用户资金没有受到影响。
ZetaChain 在事后分析中表示,攻击者利用了三个设计缺陷,这些缺陷单独看来可能很小,但结合起来就打开了彻底耗尽的大门。首先,网关允许任何人无限制地发送任意跨链指令。其次,在接收端,它可以执行任何合约上的几乎任何命令,其阻止列表非常狭窄,以至于错过了基本的代币传输功能。
第三,之前使用该网关的钱包留下了无限的支出权限,而这些权限从未被清理过。通过将这三者结合起来,攻击者只需告诉网关将代币从受害者钱包转移到自己的钱包中,网关就会服从。
“这不是一次机会主义攻击,”ZetaChain 在事后分析中表示。攻击者在漏洞利用前三天通过 Tornado Cash 为他们的钱包提供资金,在 ZetaChain 上部署了专门构建的 Drainer 合约,并进行了地址中毒活动,然后通过灰尘传输将其植入交易历史记录中。
ZetaChain 补充说,永久禁用任意调用功能的补丁正在部署到主网节点。该平台还从其存款流中删除了无限的代币批准,取而代之的是未来的确切金额批准。
a16z 的一项新研究测试了现成的 AI 代理是否能够超越识别 DeFi 漏洞并真正产生有效的漏洞利用。研究人员使用 OpenAI 的 Codex 来针对 20 个真实以太坊价格操纵事件的数据集,在沙盒环境中运行该代理,无法访问未来的交易数据,也没有关于攻击如何运作的指导。该代理人仅成功处理了 10% 的案件。
然而,当研究人员向代理提供有关常见攻击模式和漏洞利用工作流程的结构化知识时,成功率跃升至 70%。
放到主线里怎么看
虽然新闻本身不完全是加密行业内部事件,但地缘政治变化往往会直接影响风险资产偏好、美元流动性预期和市场避险情绪。对币圈用户来说,这类消息常常是观察比特币、黄金和美股联动的重要窗口。
今天最容易误判的地方
最容易误判的地方,是看到地缘消息就直接把它翻译成单边行情结论。真正要看的,是风险偏好会不会持续切换,而不是一根K线。
普通用户该怎么处理
普通用户今天更适合把它放进宏观和风险偏好框架里看,先看避险情绪和市场联动,再决定要不要提高对短线波动的警惕。
茅庐网提醒
茅庐网提醒:宏观和地缘政治新闻对币圈的影响往往是通过情绪和流动性传导,不适合只看标题就做交易决定。
消息来源:CoinTelegraph
币圈资讯由茅庐网(mao.lu)收集整理,仅供参考。
还没有留言
欢迎补充看法、纠错、补线索。这里更适合交流判断,不适合贴广告和无关灌水。