Zetachain keskeyttää pääverkon toiminnan GatewayZEVM-sopimuksen haavoittuvuuden kohdistuttua protokollan lompakkoihin

Tärkeimmät kohdat:

• Zetachain keskeytti ketjujen väliset transaktiot tiistaina sen jälkeen, kun GatewayZEVM-sopimuksen kutsutoimintoa kohdannut hyökkäys osui sisäisen tiimin lompakkoihin.
• Slowmist tunnisti syyksi puuttuvan pääsynhallinnan ja syötteen validoinnin kutsutoiminnossa, mikä mahdollisti kenelle tahansa käyttäjälle haitallisten ketjujen välisten kutsujen laukaisemisen ilman lupaa.
• Tapaus on huhtikuun 2026 toinen merkittävä ketjujen välisen hyökkäyksen tapaus KelpDAO-hakkeroinnin jälkeen, joka laukaisi pahimman DeFi-likviditeettikriisin sitten vuoden 2024.

Slowmistin alustava analyysi

Tiimi tunnisti GatewayZEVM-sopimuksen kutsutoiminnon hyökkäyksen lähtökohdaksi. Toiminnossa ei ollut pääsynhallintaa eikä syötteen validointia, mikä mahdollisti minkä tahansa ulkoisen osoitteen käynnistää ilman lupaa haitallisia ketjujen välisiä kutsuja ja ohjata ne mielivaltaisiin kohteisiin. Wu Blockchain vahvisti syyn itsenäisesti pian tämän jälkeen.

Zetachainin mukaan hyökkäys vaikutti sen oman sisäisen tiimin lompakkoihin (joiden arvoksi arvioidaan 300 000 dollaria), mutta käyttäjien varoihin ei ollut suoraa vaikutusta. Protokolla keskeytti ketjujen väliset transaktiot, kun sen tietoturvatiimi arvioi tietomurron koko laajuutta. Tutkinnan päätyttyä odotetaan jälkianalyysiä.

Lisäksi tapaus sattui vaikeaan hetkeen ketjujen väliselle infrastruktuurille, sillä aiemmin tässä kuussa KelpDAO-hyökkäys laukaisi likviditeetin nostojen ketjureaktion hajautetun rahoituksen (DeFi) protokollissa, mikä johti DeFi:n pahimpaan kriisiin sitten vuoden 2024. Arbitrum Security Council ryhtyi kuitenkin hätätoimiin jäädyttääkseen 30 766 ETH:ta, jotka olivat yhteydessä KelpDAO-hyökkääjään.

Pääsynvalvonta oli perimmäinen ongelma

Slowmistin havainnot ovat jälleen kerran korostaneet toistuvaa kaavaa älykkäiden sopimusten hyökkäyksissä, joissa puuttuvat tai riittämättömät pääsyvalvontatoimenpiteet kohdistuvat toimintoihin, jotka käsittelevät arkaluonteisia operaatioita. Zetachainin tapauksessa GatewayZEVM:n kutsutoiminto oli käytettävissä mistä tahansa ulkoisesta osoitteesta ilman käyttöoikeustarkistusta, mikä jätti oven auki mielivaltaisten syötteiden käsittelylle laillisina ketjujen välisinä ohjeina.

Syötteen validointia koskevan turvamekanismin puuttuminen lisäsi riskiä, koska ilman tarkistuksia siitä, mitä dataa toiminto vastaanottaa, hyökkääjät voivat luoda haitallisen hyötykuorman ja ohjata sen ketjujen yli tahattomiin kohteisiin (ohittaen kaikki oletetut luottamusrajat sopimuksen logiikassa).

Tietoturvatutkijat ovat toistuvasti nostaneet esiin riittämättömät pääsynvalvontatoiminnot yhtenä yleisimmistä ja ehkäistävissä olevista haavoittuvuuksista tuotantokäytössä olevissa älykkäissä sopimuksissa. Ei ole vahvistettu, oliko Zetachainin GatewayZEVM-sopimus käynyt läpi virallisen kolmannen osapuolen suorittaman tietoturvatarkastuksen ennen käyttöönottoa.