Baca
Didukung oleh
Crypto News

Zetachain Menangguhkan Jaringan Utama Setelah Eksploitasi Kontrak GatewayZEVM Menargetkan Dompet Protokol

Zetachain menghentikan sementara jaringan utamanya pada 28 April setelah kerentanan dalam kontrak pintar GatewayZEVM dieksploitasi, dengan para peneliti keamanan mengidentifikasi penyebab utamanya dalam hitungan jam setelah insiden tersebut.

DITULIS OLEH
Shiraz JagatiShiraz Jagati
BAGIKAN
Zetachain Menangguhkan Jaringan Utama Setelah Eksploitasi Kontrak GatewayZEVM Menargetkan Dompet Protokol

Poin Penting:

  • Zetachain menghentikan sementara transaksi lintas rantai pada hari Selasa setelah serangan yang menargetkan fungsi panggilan kontrak GatewayZEVM menyerang dompet tim internal.
  • Slowmist mengidentifikasi penyebab utamanya sebagai kurangnya kontrol akses dan validasi input dalam fungsi panggilan, yang memungkinkan pengguna mana pun memicu panggilan lintas rantai yang berbahaya tanpa otorisasi.
  • Insiden ini menandai eksploitasi lintas rantai besar kedua pada April 2026, menyusul peretasan KelpDAO yang memicu krisis likuiditas DeFi terburuk sejak 2024.

Analisis Awal Slowmist

Tim tersebut mengidentifikasi fungsi panggilan kontrak GatewayZEVM sebagai titik masuk. Fungsi tersebut tidak memiliki kontrol akses dan validasi input, kombinasi yang memungkinkan alamat eksternal mana pun, tanpa otorisasi, untuk memicu panggilan lintas rantai yang berbahaya dan mengarahkannya ke target yang sewenang-wenang. Wu Blockchain secara independen mengkonfirmasi penyebab utamanya tak lama setelah itu.

Sumber gambar: X
Zetachain menyatakan bahwa eksploitasi tersebut memengaruhi dompet tim internalnya sendiri (diperkirakan bernilai $300k), sambil menambahkan bahwa dana pengguna tidak terpengaruh secara langsung. Protokol tersebut menghentikan sementara transaksi lintas rantai sementara tim keamanannya mengevaluasi cakupan penuh dari pelanggaran tersebut. Analisis pasca-insiden diharapkan akan dilakukan setelah penyelidikan selesai.

Selain itu, insiden ini terjadi pada saat yang sulit bagi infrastruktur lintas rantai karena awal bulan ini, eksploitasi KelpDAO memicu serangkaian penarikan likuiditas di seluruh protokol keuangan terdesentralisasi (DeFi), yang mengakibatkan krisis terburuk di DeFi sejak 2024. Namun, Dewan Keamanan Arbitrum mengambil tindakan darurat untuk membekukan 30.766 ETH yang terkait dengan pelaku eksploitasi KelpDAO.

Kontrol Akses Adalah Masalah Utama

Temuan Slowmist sekali lagi menyoroti pola berulang dalam eksploitasi kontrak pintar, di mana kontrol akses yang hilang atau tidak memadai diterapkan pada fungsi yang menangani operasi sensitif. Dalam kasus Zetachain, fungsi panggilan di GatewayZEVM dapat di-deploy oleh alamat eksternal mana pun tanpa pemeriksaan izin, sehingga membuka celah bagi masukan sembarangan untuk diproses sebagai instruksi lintas rantai yang sah.

Ketidakhadiran mekanisme validasi input memperparah risiko karena, tanpa pemeriksaan data yang diterima fungsi, penyerang dapat merancang muatan berbahaya dan mengarahkannya ke tujuan yang tidak dimaksudkan di seluruh rantai (mengabaikan batas kepercayaan yang diasumsikan dalam logika kontrak).

Peneliti keamanan secara konsisten menandai kontrol akses yang tidak memadai sebagai salah satu kerentanan paling umum dan dapat dicegah dalam kontrak pintar produksi. Belum dikonfirmasi apakah kontrak GatewayZEVM Zetachain telah menjalani audit keamanan formal pihak ketiga sebelum diterapkan.

Tag dalam cerita ini
OnchainSmart Contracts