Zetachain suspend son réseau principal après qu'une faille dans le contrat GatewayZEVM a ciblé les portefeuilles du protocole

• Zetachain a suspendu les transactions inter-chaînes mardi après qu'une attaque ciblant la fonction d'appel du contrat GatewayZEVM a touché les portefeuilles internes de l'équipe.
• Slowmist a identifié la cause principale comme étant l'absence de contrôle d'accès et de validation des entrées dans la fonction d'appel, ce qui permettait à n'importe quel utilisateur de déclencher des appels inter-chaînes malveillants sans autorisation.
• Cet incident marque la deuxième exploitation inter-chaînes majeure en avril 2026, après le piratage de KelpDAO qui a déclenché la pire crise de liquidité DeFi depuis 2024.

Analyse préliminaire de Slowmist

L'équipe a identifié la fonction « call » du contrat GatewayZEVM comme étant le point d'entrée. Cette fonction ne comportait ni contrôle d'accès ni validation des entrées, une combinaison qui permettait à n'importe quelle adresse externe, sans autorisation, de déclencher des appels inter-chaînes malveillants et de les acheminer vers des cibles arbitraires. Wu Blockchain a confirmé de manière indépendante la cause principale peu après.

Zetachain a déclaré que l'exploitation avait affecté les portefeuilles de sa propre équipe interne (d'une valeur estimée à 300 000 dollars), ajoutant que les fonds des utilisateurs n'avaient pas été directement touchés. Le protocole a suspendu les transactions inter-chaînes pendant que son équipe de sécurité évaluait l'ampleur totale de la faille. Un rapport d'analyse rétrospective est attendu une fois l'enquête terminée.

De plus, cet incident survient à un moment difficile pour l'infrastructure inter-chaînes, car au début du mois, l'exploitation de KelpDAO a déclenché une cascade de retraits de liquidités à travers les protocoles de finance décentralisée (DeFi), entraînant la pire crise de la DeFi depuis 2024. Le Conseil de sécurité d'Arbitrum a toutefois pris des mesures d'urgence pour geler 30 766 ETH liés à l'exploiteur de KelpDAO.

Le contrôle d'accès était le problème fondamental

Les conclusions de Slowmist ont une nouvelle fois mis en évidence un schéma récurrent dans les exploits de contrats intelligents : l'absence ou l'insuffisance de contrôles d'accès sur les fonctions gérant des opérations sensibles. Dans le cas de Zetachain, la fonction d'appel dans GatewayZEVM pouvait être déployée par n'importe quelle adresse externe sans vérification d'autorisation, laissant la porte ouverte à des entrées arbitraires traitées comme des instructions inter-chaînes légitimes.

L'absence de mécanisme de validation des entrées a aggravé le risque car, sans vérification des données reçues par la fonction, les attaquants peuvent créer une charge utile malveillante et la diriger vers des destinations non prévues à travers les chaînes (contournant ainsi toute limite de confiance supposée au sein de la logique du contrat).

Les chercheurs en sécurité ont régulièrement signalé que l'insuffisance des contrôles d'accès constituait l'une des vulnérabilités les plus courantes et les plus évitables dans les contrats intelligents en production. Il n'a pas été confirmé si le contrat GatewayZEVM de Zetachain avait fait l'objet d'un audit de sécurité formel par un tiers avant son déploiement.