A Zetachain felfüggesztette a mainnet működését, miután a GatewayZEVM szerződés kihasználásával a protokoll pénztárcáit támadták meg

Főbb megállapítások:

• A Zetachain kedden felfüggesztette a láncok közötti tranzakciókat, miután a GatewayZEVM szerződés hívási funkcióját célzó támadás elérte a belső csapat pénztárcáit.
• A Slowmist a hiba kiváltó okaként a call funkcióban hiányzó hozzáférés-ellenőrzést és bemeneti érvényesítést azonosította, ami lehetővé tette bármely felhasználó számára, hogy engedély nélkül rosszindulatú láncok közötti hívásokat indítson el.
• Az incidens a 2026. áprilisi második jelentős láncok közötti támadás, a KelpDAO hack után, amely a 2024 óta legsúlyosabb DeFi likviditási válságot váltotta ki.

A Slowmist előzetes elemzése

A csapat a GatewayZEVM szerződés call funkcióját jelölte meg a behatolási pontként. A funkció nem tartalmazott hozzáférés-ellenőrzést és bemeneti érvényesítést, ami lehetővé tette, hogy bármely külső cím engedély nélkül rosszindulatú láncok közötti hívásokat indítson el, és azokat tetszőleges célpontok felé irányítsa. A Wu Blockchain röviddel ezután függetlenül megerősítette a kiváltó okot.

A Zetachain közölte, hogy a támadás a saját belső csapatának pénztárcáit érintette (becslések szerint 300 ezer dollár értékben), hozzátéve, hogy a felhasználók pénzeszközeit ez közvetlenül nem érintette. A protokoll felfüggesztette a láncok közötti tranzakciókat, miközben biztonsági csapata felmérte a támadás teljes mértékét. A vizsgálat lezárultával várhatóan készül majd egy utólagos elemzés.

Ráadásul az incidens egy nehéz pillanatban érte a láncok közötti infrastruktúrát, mivel a hónap elején a KelpDAO-kizsákmányolás likviditás-visszavonások sorozatát váltotta ki a decentralizált pénzügyi (DeFi) protokollokban, ami a DeFi 2024 óta legsúlyosabb válságát eredményezte. Az Arbitrum Biztonsági Tanács azonban sürgősségi intézkedéseket hozott, és befagyasztotta a KelpDAO-kizsákmányolóhoz kapcsolódó 30 766 ETH-t.

A hozzáférés-ellenőrzés volt a fő probléma

A Slowmist megállapításai ismét rávilágítottak egy visszatérő mintára az intelligens szerződések kihasználásában, ahol hiányoznak vagy elégtelenek a hozzáférés-ellenőrzések az érzékeny műveleteket kezelő funkciók esetében. A Zetachain esetében a GatewayZEVM hívási funkcióját bármely külső cím telepíthette engedélyellenőrzés nélkül, így lehetőség nyílt arra, hogy tetszőleges bemeneteket dolgozzanak fel legitim láncok közötti utasításként.

A bemeneti érvényesítési biztosíték hiánya tovább növelte a kockázatot, mivel a funkció által fogadott adatok ellenőrzése nélkül a támadók rosszindulatú hasznos terhelést készíthetnek, és azt a láncokon át nem szándékolt célállomásokra irányíthatják (megkerülve a szerződés logikáján belüli feltételezett bizalmi határokat).

A biztonsági kutatók következetesen jelzik, hogy a nem megfelelő hozzáférés-ellenőrzés az egyik leggyakoribb és legkönnyebben megelőzhető sebezhetőség a termelésben lévő intelligens szerződésekben. Nem erősítették meg, hogy a Zetachain GatewayZEVM szerződése a telepítés előtt átesett-e formális, harmadik fél által végzett biztonsági ellenőrzésen.