Zetachain sospende la mainnet dopo che una vulnerabilità nel contratto GatewayZEVM ha preso di mira i portafogli del protocollo

• Martedì Zetachain ha sospeso le transazioni cross-chain dopo che un exploit mirato alla funzione di chiamata del contratto GatewayZEVM ha colpito i portafogli interni del team.
• Slowmist ha identificato la causa principale in una mancanza di controllo degli accessi e di convalida degli input nella funzione call, che consentiva a qualsiasi utente di attivare chiamate cross-chain dannose senza autorizzazione.
• L'incidente segna il secondo grave exploit cross-chain nell'aprile 2026, dopo l'attacco a KelpDAO che ha innescato la peggiore crisi di liquidità DeFi dal 2024.

Analisi preliminare di Slowmist

Il team ha individuato la funzione call del contratto GatewayZEVM come punto di ingresso. La funzione non conteneva alcun controllo degli accessi né alcuna convalida degli input, una combinazione che ha permesso a qualsiasi indirizzo esterno, senza autorizzazione, di innescare chiamate cross-chain dannose e indirizzarle verso destinazioni arbitrarie. Wu Blockchain ha confermato in modo indipendente la causa principale poco dopo.

Zetachain ha dichiarato che l'exploit ha colpito i portafogli del proprio team interno (per un valore stimato di 300.000 dollari), aggiungendo che i fondi degli utenti non sono stati direttamente interessati. Il protocollo ha sospeso le transazioni cross-chain mentre il suo team di sicurezza valutava la portata completa della violazione. Una analisi post-mortem è prevista una volta conclusa l'indagine.

Inoltre, l'incidente arriva in un momento difficile per l'infrastruttura cross-chain poiché, all'inizio di questo mese, l'exploit di KelpDAO ha innescato una cascata di prelievi di liquidità attraverso i protocolli di finanza decentralizzata (DeFi), provocando la peggiore crisi nel settore DeFi dal 2024. Il Consiglio di Sicurezza di Arbitrum, tuttavia, ha intrapreso un'azione d'emergenza per congelare 30.766 ETH collegati all'autore dell'exploit di KelpDAO.

Il controllo degli accessi era il problema principale

I risultati di Slowmist hanno evidenziato ancora una volta un modello ricorrente negli exploit degli smart contract, in cui controlli di accesso mancanti o insufficienti vengono applicati a funzioni che gestiscono operazioni sensibili. Nel caso di Zetachain, la funzione call in GatewayZEVM era implementabile da qualsiasi indirizzo esterno senza alcun controllo delle autorizzazioni, lasciando la porta aperta affinché input arbitrari venissero elaborati come istruzioni cross-chain legittime.

L'assenza di un meccanismo di validazione degli input ha aggravato il rischio perché, senza controlli sui dati ricevuti dalla funzione, gli aggressori possono creare un payload dannoso e indirizzarlo verso destinazioni non previste attraverso le catene (aggirando qualsiasi confine di fiducia previsto all'interno della logica del contratto).

I ricercatori di sicurezza hanno costantemente segnalato i controlli di accesso insufficienti come una delle vulnerabilità più comuni e prevenibili negli smart contract in produzione. Non è stato confermato se il contratto GatewayZEVM di Zetachain sia stato sottoposto a un audit di sicurezza formale da parte di terzi prima della distribuzione.