गेटवेZEVM कॉन्ट्रैक्ट एक्सप्लॉइट द्वारा प्रोटोकॉल वॉलेट्स को निशाना बनाए जाने के बाद ज़ेटाचेन ने मेननेट को निलंबित कर दिया।

मुख्य बातें:

• गेटवेZEVM कॉन्ट्रैक्ट के कॉल फ़ंक्शन को लक्षित करने वाले एक एक्सप्लॉइट के आंतरिक टीम वॉलेट्स को प्रभावित करने के बाद, ज़ेटाचेन ने मंगलवार को क्रॉस-चेन लेनदेन को रोक दिया।
• Slowmist ने मूल कारण के रूप में कॉल फ़ंक्शन में एक्सेस कंट्रोल और इनपुट वैलिडेशन की कमी की पहचान की, जिससे कोई भी उपयोगकर्ता बिना प्राधिकरण के दुर्भावनापूर्ण क्रॉस-चेन कॉल ट्रिगर कर सकता था।
• यह घटना अप्रैल 2026 में दूसरी बड़ी क्रॉस-चेन एक्सप्लॉइट है, जो केल्पडीएओ हैक के बाद हुई है, जिसने 2024 के बाद से सबसे खराब डीएफआई तरलता संकट को जन्म दिया था।

स्लोमिस्ट का प्रारंभिक विश्लेषण

टीम ने गेटवेZEVM कॉन्ट्रैक्ट के कॉल फ़ंक्शन को प्रवेश बिंदु के रूप में चिह्नित किया। फ़ंक्शन में कोई एक्सेस कंट्रोल और कोई इनपुट वैलिडेशन नहीं था, यह संयोजन किसी भी बाहरी पते को, बिना प्राधिकरण के, दुर्भावनापूर्ण क्रॉस-चेन कॉल ट्रिगर करने और उन्हें मनमाने लक्ष्यों की ओर भेजने की अनुमति देता था। वू ब्लॉकचेन ने कुछ ही समय बाद स्वतंत्र रूप से मूल कारण की पुष्टि की।

ज़ेटाचेन ने कहा कि इस एक्सप्लॉइट ने उसके अपने आंतरिक टीम वॉलेट्स (जिनका अनुमानित मूल्य $300k है) को प्रभावित किया, और यह भी कहा कि उपयोगकर्ताओं के फंड सीधे प्रभावित नहीं हुए। प्रोटोकॉल ने क्रॉस-चेन लेनदेन को तब तक रोक दिया जब तक कि उसकी सुरक्षा टीम ने उल्लंघन के पूरे दायरे का आकलन नहीं कर लिया। जांच समाप्त होने के बाद एक पोस्ट-मॉर्टम की उम्मीद है।

इसके अलावा, यह घटना क्रॉस-चेन बुनियादी ढांचे के लिए एक मुश्किल समय में आई है क्योंकि इस महीने की शुरुआत में, केल्पडीएओ एक्सप्लॉइट ने विकेंद्रीकृत वित्त (डीआईएफआई) प्रोटोकॉल में तरलता निकासी की एक श्रृंखला को ट्रिगर किया, जिसके परिणामस्वरूप 2024 के बाद से डीआईएफआई में सबसे खराब संकट पैदा हो गया। हालांकि, आर्बिट्रम सुरक्षा परिषद ने केल्पडीएओ एक्सप्लॉयटर से जुड़े 30,766 ईटीएच को फ्रीज करने के लिए आपातकालीन कार्रवाई की।

एक्सेस कंट्रोल ही मूल समस्या थी

स्लोमिस्ट की खोजों ने एक बार फिर स्मार्ट कॉन्ट्रैक्ट एक्सप्लॉइट्स में एक बार-बार दोहराए जाने वाले पैटर्न को उजागर किया है, जहाँ संवेदनशील संचालन को संभालने वाले फ़ंक्शंस पर अनुपस्थित या अपर्याप्त एक्सेस कंट्रोल लागू होते हैं। ज़ेटाचेन के मामले में, गेटवेZEVM में कॉल फ़ंक्शन को बिना किसी परमिशन चेक के किसी भी बाहरी एड्रेस द्वारा तैनात किया जा सकता था, जिससे मनमाने इनपुट को वैध क्रॉस-चेन निर्देशों के रूप में संसाधित करने का रास्ता खुल गया।

इनपुट-प्रमाणीकरण ब्रेकस्टॉप की अनुपस्थिति ने जोखिम को और बढ़ा दिया क्योंकि, यह जाँच किए बिना कि फ़ंक्शन को कौन सा डेटा प्राप्त होता है, हमलावर एक दुर्भावनापूर्ण पेलोड बना सकते हैं और इसे चेन के पार अनपेक्षित गंतव्यों पर भेज सकते हैं (कॉन्ट्रैक्ट लॉजिक के भीतर किसी भी मान्य विश्वास की सीमाओं को दरकिनार करते हुए)।

सुरक्षा शोधकर्ताओं ने लगातार अपर्याप्त एक्सेस कंट्रोल को प्रोडक्शन स्मार्ट कॉन्ट्रैक्ट्स में सबसे आम और रोकी जा सकने वाली कमजोरियों में से एक के रूप में चिह्नित किया है। इस बात की पुष्टि नहीं हुई है कि ज़ेटाचेन के गेटवेZEVM कॉन्ट्रैक्ट ने परिनियोजन से पहले किसी औपचारिक तृतीय-पक्ष सुरक्षा ऑडिट से गुज़रा था या नहीं।