Zetachain peatab peavõrgu pärast seda, kui GatewayZEVM-lepingut kuritarvitati protokollirahakottide ründamiseks

Peamised järeldused:

• Zetachain peatas teisipäeval ristketi tehingud pärast seda, kui GatewayZEVM lepingu kutsufunktsiooni vastu suunatud rünnak tabas meeskonna sisemisi rahakotte.
• Slowmist tuvastas põhjuseks puuduva juurdepääsukontrolli ja sisestuse valideerimise kutsufunktsioonis, mis võimaldas igal kasutajal käivitada pahatahtlikke ristketi-kutsumisi ilma volituseta.
• See intsident on teine suur ahelatevaheline rünnak 2026. aasta aprillis, järgides KelpDAO häkkimist, mis vallandas halvima DeFi likviidsuskriisi alates 2024. aastast.

Slowmisti esialgne analüüs

Meeskond tuvastas GatewayZEVM lepingu kutsufunktsiooni kui sissetungipunkti. Funktsioonis puudusid juurdepääsukontroll ja sisestuse valideerimine, mis võimaldas igal välisel aadressil ilma loata käivitada pahatahtlikke ristketi-kõnesid ja suunata need suvalistele sihtmärkidele. Wu Blockchain kinnitas põhjuse iseseisvalt veidi hiljem.

Zetachain teatas, et rünnak mõjutas nende enda sisemeeskonna rahakotte (hinnanguliselt 300 000 dollari väärtuses), lisades, et kasutajate rahalisi vahendeid see otseselt ei mõjutanud. Protokoll peatas ahelatevahelised tehingud, kuni nende turvalisusmeeskond hindas rikkumise täielikku ulatust. Pärast uurimise lõppemist on oodata tagantjärele analüüsi.

Lisaks toimub intsident raskeks ajaks ahelatevahelise infrastruktuuri jaoks, kuna varem sel kuul põhjustas KelpDAO-i turvaauk likviidsuse väljavõtmiste laine detsentraliseeritud rahanduse (DeFi) protokollides, mille tulemusena tekkis DeFi-s suurim kriis alates 2024. aastast. Arbitrumi turvanõukogu võttis siiski erakorralisi meetmeid, et külmutada 30 766 ETH, mis oli seotud KelpDAO-i turvaaugu ärakasutajaga.

Juurpõhjuseks oli juurdepääsukontroll

Slowmisti järeldused on taas kord toonud esile korduva mustri nutilepingute ärakasutamistes, kus tundlikke operatsioone käsitlevatele funktsioonidele rakendatakse puuduvat või ebapiisavat juurdepääsukontrolli. Zetachaini puhul oli GatewayZEVM-i kutsufunktsiooni võimalik kasutada mis tahes väliselt aadressilt ilma lubade kontrollita, jättes ukse lahti suvaliste sisendite töötlemiseks õiguspäraste ketiüleste juhistena.

Sisendi valideerimise puudumine suurendas riski veelgi, sest ilma kontrollita, milliseid andmeid funktsioon vastu võtab, saavad ründajad luua pahatahtliku koormuse ja suunata selle ketid ületavatesse sihtkohtadesse (ümber minnes lepinguloogika eeldatavatest usalduspiiridest).

Turvauurijad on järjekindlalt märkinud ebapiisavaid juurdepääsukontrolle üheks levinuimaks ja ennetatavaks haavatavuseks tootmises olevates nutilepingutes. Kas Zetachaini GatewayZEVM-leping oli enne kasutuselevõttu läbinud ametliku kolmanda osapoole turvaauditi, ei ole kinnitatud.