Læs i app
Drevet af
Crypto News

Zetachain sætter mainnet på pause efter et sikkerhedsbrud i GatewayZEVM-kontrakten, der rammer protokollens tegnebøger

Zetachain satte sit mainnet på pause den 28. april, efter at en sårbarhed i smartkontrakten GatewayZEVM blev udnyttet, og sikkerhedsforskere fastslog årsagen inden for få timer efter hændelsen.

SKREVET AF
Shiraz JagatiShiraz Jagati
DEL
Zetachain sætter mainnet på pause efter et sikkerhedsbrud i GatewayZEVM-kontrakten, der rammer protokollens tegnebøger

Hovedpunkter:

  • Zetachain satte krydskædetransaktioner på pause tirsdag, efter at et angreb rettet mod GatewayZEVM-kontraktens call-funktion ramte interne team-wallets.
  • Slowmist identificerede årsagen som manglende adgangskontrol og inputvalidering i call-funktionen, hvilket gjorde det muligt for enhver bruger at udløse ondsindede krydskæde-kald uden tilladelse.
  • Hændelsen er den anden store krydskædeudnyttelse i april 2026 efter KelpDAO-hacket, der udløste den værste DeFi-likviditetskrise siden 2024.

Slowmists foreløbige analyse

Teamet udpegede GatewayZEVM-kontraktens call-funktion som indgangspunktet. Funktionen indeholdt ingen adgangskontrol og ingen inputvalidering, en kombination, der gjorde det muligt for enhver ekstern adresse uden tilladelse at udløse ondsindede krydskædeopkald og dirigere dem mod vilkårlige mål. Wu Blockchain bekræftede uafhængigt årsagen kort efter.

Billedkilde: X
Zetachain sagde, at udnyttelsen påvirkede deres egne interne team-wallets (anslået til at være 300.000 dollars værd), og tilføjede, at brugernes midler ikke blev direkte påvirket. Protokollen satte krydskædetransaktioner på pause, mens deres sikkerhedsteam vurderede det fulde omfang af bruddet. Der forventes en efteranalyse, når undersøgelsen er afsluttet.

Desuden kommer hændelsen på et vanskeligt tidspunkt for krydskædeinfrastrukturen, da KelpDAO-udnyttelsen tidligere på måneden udløste en kaskade af likviditetsudtræk på tværs af decentraliserede finansprotokoller (DeFi), hvilket resulterede i den værste krise i DeFi siden 2024. Arbitrum Security Council iværksatte dog nødforanstaltninger for at fryse 30.766 ETH knyttet til KelpDAO-udnytteren.

Adgangskontrol var det grundlæggende problem

Slowmists fund har endnu en gang fremhævet et tilbagevendende mønster i udnyttelser af smarte kontrakter, hvor manglende eller utilstrækkelig adgangskontrol anvendes på funktioner, der håndterer følsomme operationer. I Zetachains tilfælde kunne call-funktionen i GatewayZEVM implementeres af enhver ekstern adresse uden tilladelseskontrol, hvilket efterlod døren åben for, at vilkårlige input kunne behandles som legitime krydskædeinstruktioner.

Fraværet af en indtastningsvalideringsbremse forværrede risikoen, fordi angribere uden kontrol af, hvilke data funktionen modtager, kan udforme en ondsindet nyttelast og dirigere den til utilsigtede destinationer på tværs af kæder (ved at omgå eventuelle antagede tillidsgrænser inden for kontraktlogikken).

Sikkerhedsforskere har konsekvent påpeget utilstrækkelige adgangskontroller som en af de mest almindelige og forebyggelige sårbarheder i smarte kontrakter i produktion. Det er ikke blevet bekræftet, om Zetachains GatewayZEVM-kontrakt havde gennemgået en formel tredjeparts sikkerhedsrevision før implementeringen.

Tags i denne artikel
OnchainSmart Contracts