作者:BlockWeeks
就在昨日(12月12日),ZK 隐私基础设施项目 ZeroBase(ZeroBaseZK)的前端界面惊现恶意“钓鱼”劫持,导致多名在官网进行交互的用户资产失窃。
据链上分析工具 Lookonchain统计,此次攻击已造成超过 270 名用户受害,累计损失金额已突破 24 万美元。其中,一名不幸的用户单笔被盗走高达 123,597 USDT。目前,ZeroBase 团队与币安(Binance)安全团队已介入调查,并在极短时间内封锁了恶意域名。
技术剥茧——从“授权”到“清空”的陷阱
与以往深奥的合约代码漏洞不同,本次攻击是典型的前端注入钓鱼(Frontend Hijack)。
-
攻击复盘: 攻击者通过某种方式篡改了 ZeroBase 的前端交互逻辑。当用户在官网上点击正常的“链接钱包”或“领取奖励”按钮时,网页背后的恶意代码会引导用户调用一个伪装成官方合约的恶意地址(
0x0dd2...2396)。 -
致命的“USDT 授权”: 黑客利用了用户对签名请求的习以为常,诱导其签署了一份“无限额度授权”。一旦确认,黑客便可在后端直接调用
transferFrom指令,瞬间搬空用户地址里的 USDT 资产。 -
为何发生在 BNB Chain? 本次受攻击的重灾区集中在 BNB Chain。由于该链交易成本低、用户交互频繁,且部分用户安全意识相对薄弱,成为了黑客首选的“提款机”。
紧急博弈——30 分钟的“安全拉锯战”
此次事件中,行业协作的响应速度成为关注焦点。
在检测到异常流量和用户反馈后,币安安全团队(Binance Security) 在 30 分钟内便在币安钱包(Binance Wallet)和相关生态工具中屏蔽了该恶意域名。ZeroBase 官方也迅速启动了“授权封锁系统”,通过链上黑名单机制试图阻止被盗资金进一步流向洗币合约。
尽管如此,45 分钟的防御时差依然让两百多名用户蒙受损失。这引发了BlockWeeks的深思:在去中心化协议中,前端安全性是否已经成为了比智能合约更脆弱的“阿喀琉斯之踵”?
责任与赔付——项目方的“大考”才刚刚开始
对于受灾用户而言,最关心的是损失能否追回。
-
资产追踪: 目前部分被盗资金已流向多个匿名地址。Arkham 等分析平台正在对这些地址进行标记,试图通过资金链条追踪到其在中心化交易所(CEX)的入金记录。
-
追责项目方: ZEROBASE 官方目前正面临社区关于“服务器运维安全”和“应急预警迟缓”的质疑。对于一个主打“零知识证明(ZK)”和“隐私安全”的项目,前端被如此初级的钓鱼手段劫持,无疑是对品牌信誉的一次重创。
-
行业预警: 此次事件再次证明,即使智能合约审计(Audit)满分,前端代码、DNS解析和域名安全如果存在单点故障,整个去中心化愿景都将是沙盒堡垒。
BlockWeeks总结
作为加密媒体,我们想告诉每一位用户:在 Web3 的黑暗森林里,没有绝对安全的“家园”。
-
必须撤销授权(Revoke): 如果你曾在昨日访问过 ZeroBase 官网并签署过任何请求,请立即使用
Revoke.cash或官方提供的拦截工具撤销对恶意合约(0x0dd2...)的授权。 -
警惕“签名盲盒”: 在钱包弹出签名框时,请务必核对合约地址,尤其警惕任何要求“无限制额度授权(Unlimited Allowance)”的操作。
ZEROBASE 的遭遇并非个例,它揭示了当前 Web3 架构中一个尴尬的现实:我们拥有去中心化的后端(智能合约),却依然依赖中心化的前端(Web2 服务器)。该事件或许只是岁末年初黑客活跃期的一个缩影。当我们在追求隐私和效率的同时,最基本的 Web2 侧防御(运维、CDN安全)依然是不可逾越的底线。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。
