Zetachain legt Mainnet still, nachdem ein Sicherheitslückenangriff auf den GatewayZEVM-Vertrag die Wallets des Protokolls ins Visier genommen hat

• Zetachain hat am Dienstag die kettenübergreifenden Transaktionen ausgesetzt, nachdem ein Exploit, der auf die Call-Funktion des GatewayZEVM-Vertrags abzielte, interne Team-Wallets getroffen hatte.
• Slowmist identifizierte die Ursache als fehlende Zugriffskontrolle und Eingabevalidierung in der Call-Funktion, wodurch jeder Benutzer ohne Autorisierung böswillige kettenübergreifende Aufrufe auslösen konnte.
• Der Vorfall ist der zweite große kettenübergreifende Exploit im April 2026 nach dem KelpDAO-Hack, der die schlimmste DeFi-Liquiditätskrise seit 2024 ausgelöst hatte.

Vorläufige Analyse von Slowmist

Das Team identifizierte die Call-Funktion des GatewayZEVM-Vertrags als Einstiegspunkt. Die Funktion enthielt weder eine Zugriffskontrolle noch eine Eingabevalidierung – eine Kombination, die es jeder externen Adresse ermöglichte, ohne Autorisierung böswillige kettenübergreifende Aufrufe auszulösen und diese an beliebige Ziele weiterzuleiten. Wu Blockchain bestätigte die Ursache kurz darauf unabhängig.

Zetachain teilte mit, dass der Exploit die eigenen internen Team-Wallets (mit einem geschätzten Wert von 300.000 US-Dollar) betraf, fügte jedoch hinzu, dass die Gelder der Nutzer nicht direkt betroffen waren. Das Protokoll setzte kettenübergreifende Transaktionen aus, während sein Sicherheitsteam das gesamte Ausmaß des Vorfalls bewertete. Eine Nachbetrachtung wird erwartet, sobald die Untersuchung abgeschlossen ist.

Zudem ereignet sich der Vorfall zu einem schwierigen Zeitpunkt für die kettenübergreifende Infrastruktur, da Anfang dieses Monats der KelpDAO-Exploit eine Kaskade von Liquiditätsabzügen über dezentrale Finanzprotokolle (DeFi) hinweg auslöste, was zur schlimmsten Krise im DeFi-Bereich seit 2024 führte. Der Arbitrum Security Council ergriff jedoch Sofortmaßnahmen, um 30.766 ETH einzufrieren, die mit dem KelpDAO-Exploiter in Verbindung standen.

Zugriffskontrolle war das Kernproblem

Die Erkenntnisse von Slowmist haben erneut ein wiederkehrendes Muster bei Smart-Contract-Exploits aufgezeigt, bei denen fehlende oder unzureichende Zugriffskontrollen auf Funktionen angewendet werden, die sensible Vorgänge abwickeln. Im Fall von Zetachain konnte die Call-Funktion in GatewayZEVM von jeder externen Adresse ohne Berechtigungsprüfung aufgerufen werden, was die Tür offenließ, damit beliebige Eingaben als legitime kettenübergreifende Anweisungen verarbeitet wurden.

Das Fehlen einer Eingabevalidierung verschärfte das Risiko zusätzlich, da Angreifer ohne Überprüfung der empfangenen Daten eine bösartige Nutzlast erstellen und diese an unbeabsichtigte Ziele über Ketten hinweg leiten können (wobei sie alle angenommenen Vertrauensgrenzen innerhalb der Vertragslogik umgehen).

Sicherheitsforscher haben unzureichende Zugriffskontrollen immer wieder als eine der häufigsten und vermeidbaren Schwachstellen in produktiven Smart Contracts identifiziert. Ob der GatewayZEVM-Vertrag von Zetachain vor der Bereitstellung einer formalen Sicherheitsprüfung durch Dritte unterzogen wurde, ist nicht bestätigt.