Zetachain je 28. travnja pauzirao svoj mainnet nakon što je iskorištena ranjivost u njegovom pametnom ugovoru GatewayZEVM, pri čemu su sigurnosni istraživači u roku od nekoliko sati nakon incidenta potvrdili temeljni uzrok.
Zetachain pauzira mainnet nakon exploita ugovora GatewayZEVM koji cilja novčanike protokola
NAPISAO
PODIJELI
Ključne poruke:
- Zetachain je u utorak pauzirao cross-chain transakcije nakon što je exploit usmjeren na funkciju call ugovora GatewayZEVM pogodio interne novčanike tima.
- Slowmist je kao temeljni uzrok identificirao nedostatak kontrole pristupa i provjere valjanosti ulaza u funkciji call, što je omogućilo bilo kojem korisniku da bez autorizacije pokrene zlonamjerne cross-chain pozive.
- Incident označava drugi veliki cross-chain exploit u travnju 2026., nakon hakiranja KelpDAO-a koje je izazvalo najgoru krizu DeFi likvidnosti od 2024.
Preliminarna analiza Slowmista
Tim je točno identificirao funkciju call ugovora GatewayZEVM kao ulaznu točku. Funkcija nije sadržavala nikakvu kontrolu pristupa niti provjeru valjanosti ulaza, što je kombinacija koja je omogućila bilo kojoj vanjskoj adresi, bez autorizacije, da pokrene zlonamjerne cross-chain pozive i usmjeri ih prema proizvoljnim ciljevima. Wu Blockchain je neovisno potvrdio temeljni uzrok ubrzo nakon toga.
Zetachain je naveo da je exploit pogodio njegove vlastite interne novčanike tima (procijenjene vrijednosti 300 tisuća dolara), uz napomenu da sredstva korisnika nisu bila izravno pogođena. Protokol je pauzirao cross-chain transakcije dok je njegov sigurnosni tim procjenjivao puni opseg proboja. Nakon završetka istrage očekuje se post-mortem izvješće.
Nadalje, incident dolazi u teškom trenutku za cross-chain infrastrukturu jer je ranije ovog mjeseca exploit KelpDAO-a potaknuo kaskadu povlačenja likvidnosti kroz protokole decentraliziranih financija (DeFi), što je rezultiralo najgorim stiskanjem likvidnosti u DeFi-ju od 2024. Međutim, Arbitrumovo sigurnosno vijeće poduzelo je hitnu mjeru zamrzavanja 30.766 ETH povezanih s napadačem na KelpDAO.
Kontrola pristupa bila je temeljni problem
Nalazi Slowmista ponovno su istaknuli obrazac koji se ponavlja u exploitima pametnih ugovora, gdje na funkcijama koje rukovode osjetljivim operacijama nedostaju ili su nedostatne kontrole pristupa. U slučaju Zetachaina, funkciju call u GatewayZEVM-u mogla je koristiti bilo koja vanjska adresa bez ikakve provjere dozvola, ostavljajući otvorena vrata da se proizvoljni ulazi obrade kao legitimne cross-chain upute.
Izostanak zaštitne provjere valjanosti ulaza dodatno je povećao rizik jer, bez provjera kakve podatke funkcija prima, napadači mogu izraditi zlonamjerni payload i usmjeriti ga na nenamjerna odredišta preko lanaca (zaobilazeći bilo koje pretpostavljene granice povjerenja unutar logike ugovora).
Sigurnosni istraživači dosljedno upozoravaju da su nedostatne kontrole pristupa među najčešćim i najlakše sprječivim ranjivostima u produkcijskim pametnim ugovorima. Nije potvrđeno je li Zetachainov ugovor GatewayZEVM prije implementacije prošao formalnu sigurnosnu reviziju treće strane.
