Zetachain pozastavil provoz hlavní sítě poté, co byl odhalen exploit smlouvy GatewayZEVM zaměřený na peněženky protokolu

Hlavní body:

• Zetachain v úterý pozastavil transakce mezi řetězci poté, co exploit zaměřený na volací funkci smlouvy GatewayZEVM zasáhl interní peněženky týmu.
• Společnost Slowmist identifikovala příčinu jako chybějící kontrolu přístupu a ověření vstupů ve funkci call, což umožňovalo jakémukoli uživateli spouštět škodlivé mezireťazcové volání bez autorizace.
• Tento incident představuje druhý významný mezireťazcový útok v dubnu 2026, který následoval po hackerském útoku na KelpDAO, jenž vyvolal nejhorší krizi likvidity v DeFi od roku 2024.

Předběžná analýza společnosti Slowmist

Tým určil jako vstupní bod funkci volání smlouvy GatewayZEVM. Funkce neobsahovala žádnou kontrolu přístupu ani ověření vstupů, což umožnilo jakékoli externí adrese bez oprávnění spustit škodlivé mezireťazcové volání a nasměrovat je na libovolné cíle. Wu Blockchain krátce poté nezávisle potvrdil příčinu incidentu.

Zetachain uvedl, že exploit zasáhl peněženky jeho vlastního interního týmu (v odhadované hodnotě 300 000 USD), a dodal, že prostředky uživatelů nebyly přímo zasaženy. Protokol pozastavil transakce mezi řetězci, zatímco jeho bezpečnostní tým posuzoval plný rozsah narušení. Po skončení vyšetřování se očekává zveřejnění závěrů.

K incidentu navíc došlo v obtížném období pro mezireťazcovou infrastrukturu, protože na začátku tohoto měsíce exploit KelpDAO spustil kaskádový odliv likvidity napříč protokoly decentralizovaného financování (DeFi), což vedlo k nejhorší krizi v DeFi od roku 2024. Bezpečnostní rada Arbitrum však přijala nouzová opatření k zmrazení 30 766 ETH spojených s útočníkem KelpDAO.

Základním problémem byla kontrola přístupu

Zjištění společnosti Slowmist opět poukázala na opakující se vzorec v exploitech smart kontraktů, kdy jsou na funkce zpracovávající citlivé operace aplikovány chybějící nebo nedostatečné kontroly přístupu. V případě Zetachainu mohla být volací funkce v GatewayZEVM nasazena jakoukoli externí adresou bez kontroly oprávnění, což nechalo otevřené dveře pro zpracování libovolných vstupů jako legitimních mezireťazcových instrukcí.

Absence kontrolního mechanismu pro ověření vstupů riziko ještě zvýšila, protože bez kontroly dat, která funkce přijímá, mohou útočníci vytvořit škodlivý payload a nasměrovat jej na nezamýšlené cíle napříč řetězci (obejít jakékoli předpokládané hranice důvěry v rámci logiky smlouvy).

Bezpečnostní výzkumníci důsledně označují nedostatečné kontroly přístupu za jednu z nejčastějších a nejlépe preventivních zranitelností v produkčních smart kontraktech. Není potvrzeno, zda kontrakt GatewayZEVM společnosti Zetachain prošel před nasazením formálním bezpečnostním auditem provedeným třetí stranou.