Zetachain השעתה את המייננט שלה ב-28 באפריל לאחר שפגיעוּת בחוזה החכם GatewayZEVM נוצלה, כאשר חוקרי אבטחה אישרו את סיבת השורש בתוך שעות מהאירוע.
Zetachain משהה את ה־Mainnet לאחר ניצול בחוזה GatewayZEVM שמכוון לארנקים של הפרוטוקול
נכתב ע"י
שתף
תובנות מרכזיות:
- Zetachain השעתה עסקאות בין-רשתיות ביום שלישי לאחר ניצול שכוון לפונקציית ה-call של חוזה GatewayZEVM ופגע בארנקים פנימיים של צוות החברה.
- Slowmist זיהתה את סיבת השורש כהיעדר בקרת גישה ואימות קלט בפונקציית ה-call, מה שאפשר לכל משתמש להפעיל קריאות בין-רשתיות זדוניות ללא הרשאה.
- האירוע מסמן את הניצול הבין-רשתי הגדול השני באפריל 2026, לאחר פריצת KelpDAO שהובילה למשבר הנזילות החריף ביותר ב-DeFi מאז 2024.
הניתוח הראשוני של Slowmist
הצוות זיהה את פונקציית ה-call של חוזה GatewayZEVM כנקודת הכניסה. הפונקציה לא כללה בקרת גישה ולא אימות קלט — שילוב שאפשר לכל כתובת חיצונית, ללא הרשאה, להפעיל קריאות בין-רשתיות זדוניות ולנתב אותן לעבר יעדים שרירותיים. Wu Blockchain אישרו באופן עצמאי את סיבת השורש זמן קצר לאחר מכן.
Zetachain מסרה כי הניצול השפיע על ארנקי הצוות הפנימיים שלה (שהוערכו בכ-300 אלף דולר), והוסיפה כי כספי המשתמשים לא הושפעו באופן ישיר. הפרוטוקול השעה עסקאות בין-רשתיות בזמן שצוות האבטחה שלו העריך את מלוא היקף הפריצה. דוח פוסט-מורטם צפוי לאחר סיום החקירה.
יתרה מכך, האירוע מגיע ברגע מאתגר עבור תשתיות בין-רשתיות, שכן מוקדם יותר החודש, ניצול KelpDAO הוביל לשרשרת של משיכות נזילות ברחבי פרוטוקולי פיננסים מבוזרים (DeFi), והביא למשבר הנזילות החמור ביותר ב-DeFi מאז 2024. עם זאת, מועצת האבטחה של Arbitrum נקטה פעולת חירום להקפאת 30,766 ETH המקושרים למנצל של KelpDAO.
בקרת גישה הייתה הבעיה המרכזית
ממצאיה של Slowmist הדגישו פעם נוספת דפוס חוזר בניצולים של חוזים חכמים, שבו חסרות או אינן מספקות בקרות גישה שמוחלות על פונקציות המטפלות בפעולות רגישות. במקרה של Zetachain, פונקציית ה-call ב-GatewayZEVM הייתה ניתנת להפעלה על ידי כל כתובת חיצונית ללא בדיקת הרשאות, מה שהשאיר דלת פתוחה לכך שקלטים שרירותיים יעובדו כהוראות בין-רשתיות לגיטימיות.
היעדר מנגנון עצירה המבוסס על אימות קלט החריף את הסיכון, משום שללא בדיקות לגבי הנתונים שהפונקציה מקבלת, תוקפים יכולים לבנות מטען זדוני ולכוון אותו ליעדים לא מיועדים בין רשתות (תוך עקיפת גבולות אמון שהונחו לכאורה בתוך לוגיקת החוזה).
חוקרי אבטחה הצביעו באופן עקבי על בקרות גישה לא מספקות כאחת הפגיעויות הנפוצות והניתנות למניעה ביותר בחוזים חכמים בסביבת ייצור. לא אושר האם חוזה GatewayZEVM של Zetachain עבר ביקורת אבטחה פורמלית של צד שלישי לפני ההשקה.
