زتاچین پس از سوءاستفاده از یک آسیبپذیری در قرارداد هوشمند GatewayZEVM خود، در تاریخ ۲۸ آوریل میننتش را متوقف کرد؛ پژوهشگران امنیتی نیز ظرف چند ساعت پس از رخداد، علت ریشهای را تأیید کردند.
زتاچین پس از بهرهبرداری از قرارداد GatewayZEVM که کیفپولهای پروتکل را هدف قرار داد، میننت را متوقف کرد
نویسنده
اشتراک
نکات کلیدی:
- زتاچین روز سهشنبه پس از آنکه یک اکسپلویت با هدف گرفتن تابع call در قرارداد GatewayZEVM کیفپولهای داخلی تیم را هدف قرار داد، تراکنشهای بینزنجیرهای را متوقف کرد.
- اسلومِیست علت ریشهای را نبود کنترل دسترسی و اعتبارسنجی ورودی در تابع call دانست؛ موضوعی که به هر کاربری اجازه میداد بدون مجوز، فراخوانیهای بینزنجیرهای مخرب را فعال کند.
- این رخداد دومین اکسپلویت بزرگ بینزنجیرهای در آوریل ۲۰۲۶ است؛ پس از هک KelpDAO که بدترین بحران نقدینگی دیفای از سال ۲۰۲۴ را رقم زد.
تحلیل اولیه اسلومِیست
این تیم مشخص کرد که تابع call در قرارداد GatewayZEVM نقطه ورود بوده است. این تابع هیچ کنترل دسترسی و هیچ اعتبارسنجی ورودی نداشت؛ ترکیبی که به هر آدرس خارجی، بدون مجوز، امکان میداد فراخوانیهای بینزنجیرهای مخرب را فعال کرده و آنها را به سمت اهداف دلخواه مسیردهی کند. وو بلاکچین نیز بهطور مستقل علت ریشهای را اندکی بعد تأیید کرد.
زتاچین اعلام کرد این اکسپلویت کیفپولهای داخلی خودِ تیم (با برآورد ارزش ۳۰۰ هزار دلار) را تحت تأثیر قرار داده و افزود که وجوه کاربران بهطور مستقیم آسیب ندیده است. این پروتکل در حالی که تیم امنیتیاش دامنه کامل رخنه را ارزیابی میکرد، تراکنشهای بینزنجیرهای را متوقف کرد. انتظار میرود پس از پایان تحقیقات، گزارش کالبدشکافی (post-mortem) منتشر شود.
علاوه بر این، این رخداد در زمانی دشوار برای زیرساختهای بینزنجیرهای رخ میدهد؛ چرا که اوایل همین ماه، اکسپلویت KelpDAO موجب زنجیرهای از برداشتهای نقدینگی در سراسر پروتکلهای مالی غیرمتمرکز (DeFi) شد و بدترین فشار نقدینگی دیفای از سال ۲۰۲۴ را رقم زد. با این حال، شورای امنیت آربیتروم اقدام اضطراری برای مسدودسازی ۳۰٬۷۶۶ اتریوم مرتبط با عامل اکسپلویت KelpDAO انجام داد.
کنترل دسترسی مسئله ریشهای بود
یافتههای اسلومِیست بار دیگر یک الگوی تکرارشونده در اکسپلویتهای قرارداد هوشمند را برجسته کرده است؛ جایی که کنترلهای دسترسیِ ناقص یا مفقود روی توابعی اعمال میشود که عملیات حساس را مدیریت میکنند. در مورد زتاچین، تابع call در GatewayZEVM توسط هر آدرس خارجی و بدون هیچ بررسیِ مجوزی قابل فراخوانی بود و این وضعیت در را برای پردازش ورودیهای دلخواه بهعنوان دستورالعملهای بینزنجیرهای معتبر باز گذاشت.
نبودِ یک سازوکار توقف/مهارِ اعتبارسنجی ورودی (breakstop) ریسک را تشدید کرد؛ زیرا بدون بررسیِ دادههایی که تابع دریافت میکند، مهاجمان میتوانند یک محموله مخرب بسازند و آن را به مقصدهای ناخواسته در میان زنجیرهها هدایت کنند (و از هر مرز اعتمادِ فرضشده در منطق قرارداد عبور کنند).
پژوهشگران امنیتی بهطور مداوم کنترلهای دسترسی ناکافی را بهعنوان یکی از رایجترین و قابلپیشگیریترین آسیبپذیریها در قراردادهای هوشمندِ در حال بهرهبرداری اعلام کردهاند. اینکه آیا قرارداد GatewayZEVM زتاچین پیش از استقرار، تحت ممیزی امنیتی رسمی توسط شخص ثالث قرار گرفته یا نه، تأیید نشده است.
