أوقفت Zetachain شبكتها الرئيسية في 28 أبريل بعد استغلال ثغرة أمنية في عقدها الذكي GatewayZEVM، حيث أكد باحثو الأمن السبب الجذري للحادث في غضون ساعات من وقوعه.
"زيتاشين" تعلق تشغيل الشبكة الرئيسية بعد استغلال ثغرة في عقد "GatewayZEVM" استهدفت محافظ البروتوكول
بقلم
مشاركة
النقاط الرئيسية:
- أوقفت Zetachain المعاملات عبر السلاسل يوم الثلاثاء بعد أن استهدف استغلال ثغرة أمنية وظيفة الاستدعاء في عقد GatewayZEVM محافظ الفريق الداخلية.
- حددت Slowmist السبب الجذري على أنه عدم وجود تحكم في الوصول والتحقق من صحة المدخلات في وظيفة الاستدعاء، مما سمح لأي مستخدم بتشغيل استدعاءات عبر السلاسل خبيثة دون إذن.
- يمثل هذا الحادث ثاني أكبر استغلال عبر السلاسل في أبريل 2026، بعد اختراق KelpDAO الذي تسبب في أسوأ أزمة سيولة في DeFi منذ عام 2024.
التحليل الأولي لشركة Slowmist
حدد الفريق وظيفة الاستدعاء في عقد GatewayZEVM باعتبارها نقطة الدخول. لم تحتوي الوظيفة على أي تحكم في الوصول أو التحقق من صحة المدخلات، وهو مزيج سمح لأي عنوان خارجي، دون إذن، بتشغيل مكالمات خبيثة عبر السلاسل وتوجيهها نحو أهداف عشوائية. أكدت Wu Blockchain بشكل مستقل السبب الجذري بعد ذلك بوقت قصير.
علاوة على ذلك، يأتي هذا الحادث في وقت صعب للبنية التحتية عبر السلاسل، حيث تسبب استغلال KelpDAO في وقت سابق من هذا الشهر في سلسلة من عمليات سحب السيولة عبر بروتوكولات التمويل اللامركزي (DeFi)، مما أدى إلى أسوأ أزمة في DeFi منذ عام 2024. ومع ذلك، اتخذ مجلس أمن Arbitrum إجراءات طارئة لتجميد 30,766 ETH مرتبطة بمستغل KelpDAO.
كان التحكم في الوصول هو المشكلة الأساسية
سلطت نتائج Slowmist الضوء مرة أخرى على نمط متكرر في استغلالات العقود الذكية حيث يتم تطبيق ضوابط وصول مفقودة أو غير كافية على الوظائف التي تتعامل مع العمليات الحساسة. في حالة Zetachain، كان من الممكن نشر وظيفة الاستدعاء في GatewayZEVM بواسطة أي عنوان خارجي دون فحص للأذونات، مما ترك الباب مفتوحًا لمعالجة المدخلات التعسفية كتعليمات عبر السلاسل مشروعة.
وقد أدى غياب آلية إيقاف للتحقق من صحة المدخلات إلى تفاقم المخاطر، لأنه بدون التحقق من البيانات التي تتلقاها الوظيفة، يمكن للمهاجمين صياغة حمولة خبيثة وتوجيهها إلى وجهات غير مقصودة عبر السلاسل (متجاوزين أي حدود ثقة مفترضة ضمن منطق العقد).
وقد أشار باحثو الأمن باستمرار إلى أن ضوابط الوصول غير الكافية هي واحدة من أكثر الثغرات شيوعًا والتي يمكن الوقاية منها في العقود الذكية قيد الإنتاج. ولم يتم تأكيد ما إذا كان عقد GatewayZEVM الخاص بـ Zetachain قد خضع لتدقيق أمني رسمي من قبل طرف ثالث قبل النشر.
