Zetachain suspende la red principal tras un ataque a las carteras del protocolo a través de una vulnerabilidad en el contrato GatewayZEVM

• Zetachain suspendió las transacciones entre cadenas el martes después de que un ataque dirigido a la función de llamada del contrato GatewayZEVM afectara a las carteras internas del equipo.
• Slowmist identificó la causa principal como una falta de control de acceso y validación de entradas en la función de llamada, lo que permitía a cualquier usuario activar llamadas entre cadenas maliciosas sin autorización.
• El incidente supone el segundo exploit entre cadenas de mayor envergadura en abril de 2026, tras el hackeo de KelpDAO que desencadenó la peor crisis de liquidez de DeFi desde 2024.

Análisis preliminar de Slowmist

El equipo identificó la función de llamada del contrato GatewayZEVM como el punto de entrada. La función no contenía ningún control de acceso ni validación de entradas, una combinación que permitía a cualquier dirección externa, sin autorización, activar llamadas maliciosas entre cadenas y dirigirlas hacia objetivos arbitrarios. Wu Blockchain confirmó de forma independiente la causa principal poco después.

Zetachain afirmó que el exploit afectó a las carteras de su propio equipo interno (con un valor estimado de 300 000 dólares), y añadió que los fondos de los usuarios no se vieron directamente afectados. El protocolo suspendió las transacciones entre cadenas mientras su equipo de seguridad evaluaba el alcance total de la brecha. Se espera un análisis posterior una vez que concluya la investigación.

Además, el incidente llega en un momento difícil para la infraestructura entre cadenas, ya que a principios de este mes, la vulnerabilidad de KelpDAO desencadenó una cascada de retiradas de liquidez en los protocolos de finanzas descentralizadas (DeFi), lo que provocó la peor crisis en DeFi desde 2024. El Consejo de Seguridad de Arbitrum, sin embargo, tomó medidas de emergencia para congelar 30 766 ETH vinculados al explotador de KelpDAO.

El control de acceso fue el problema fundamental

Las conclusiones de Slowmist han puesto de relieve una vez más un patrón recurrente en las vulnerabilidades de los contratos inteligentes, en las que se aplican controles de acceso inexistentes o insuficientes a las funciones que gestionan operaciones sensibles. En el caso de Zetachain, la función de llamada en GatewayZEVM podía ser implementada por cualquier dirección externa sin comprobación de permisos, lo que dejaba la puerta abierta a que entradas arbitrarias se procesaran como instrucciones entre cadenas legítimas.

La ausencia de un mecanismo de validación de entradas agravó el riesgo porque, sin comprobaciones sobre los datos que recibe la función, los atacantes pueden crear una carga maliciosa y dirigirla a destinos no previstos a través de las cadenas (eludiendo cualquier límite de confianza asumido dentro de la lógica del contrato).

Los investigadores de seguridad han señalado sistemáticamente que los controles de acceso insuficientes son una de las vulnerabilidades más comunes y evitables en los contratos inteligentes en producción. No se ha confirmado si el contrato GatewayZEVM de Zetachain se sometió a una auditoría de seguridad formal por parte de terceros antes de su implementación.