ZetaChain 近期遭遇了一起精心策划的跨链攻击，导致约 33.4 万美元资金流失。该事件的核心争议在于，导致此次失窃的关键漏洞早在攻击发生前就已通过其漏洞赏金计划被研究人员发现，但当时被项目方误判为正常行为而遭到忽视。周三发布的事后分析报告显示，这一惨痛教训迫使团队重新审视其漏洞处理流程，特别是针对那些单独看似无害、但组合使用极具破坏力的连锁攻击机制。午方 AI 注意到，社区对此反应强烈，有用户在 X 平台直言，当前的漏洞赏金计划往往只让协议和用户资产受损，却未能有效奖励发现并预警风险的研究人员。

上周日，攻击者利用 ZetaChain 跨链网关合约的缺陷，在 Ethereum、Arbitrum、Base 和 BSC 四条公链上通过四次交易完成了资金转移。

值得注意的是，被盗资金均来自 ZetaChain 控制的钱包账户，并未直接波及终端用户的个人资产。技术复盘揭示，攻击者成功利用了三个关键的设计缺陷：首先，网关允许任何人发送任意跨链指令且缺乏限制；其次，接收端允许执行的命令列表过于狭窄，甚至遗漏了基础的代币转移功能，导致其几乎可执行任何类型的合约命令；第三，部分早期用户未及时取消无限额消费权限。这三个缺陷被攻击者巧妙串联，使得网关能够乖乖执行从受害者钱包转移资金的指令。

ZetaChain 在报告中强调，此次攻击绝非偶然。数据显示，在攻击发生前三天，攻击者便已通过 Tornado Cash 为钱包充值，随后在链上部署了专门用于窃取资金的合约，并实施了一系列地址伪装操作，试图将非法交易记录混入正常交易历史中。为应对危机，ZetaChain 正在向主网节点紧急推送补丁，该补丁将永久禁用任意调用功能。

同时，平台修改了资金存入流程，规定今后所有存入操作必须输入具体金额，彻底废除无限额存入机制。

与此同时，a16z 的一项新研究探讨了 AI 模型在识别 DeFi 漏洞及生成攻击代码方面的潜力。研究人员利用 OpenAI 的 Codex 模型，针对 20 起真实的 Ethereum 价格操纵案例进行了测试。午方 AI 梳理发现，在缺乏未来交易数据且不了解具体攻击逻辑的盲测环境下，AI 模型的成功率仅为 10%。

然而，当研究人员向模型提供关于常见攻击模式和流程的结构化信息后，其成功率显著提升至 70%。这一结果暗示，虽然通用 AI 尚难独立发现复杂漏洞，但在辅助安全审计和模拟攻击场景方面已展现出巨大价值，也侧面印证了 ZetaChain 此类人为疏忽在未来可能面临更严峻的自动化攻击挑战。