GatewayZEVMのスマートコントラクトがプロトコルのウォレットを標的とした脆弱性攻撃を受けたことを受け、Zetachainはメインネットの運用を一時停止しました

• Zetachainは火曜日、GatewayZEVMコントラクトのcall関数を標的とした攻撃が内部チームのウォレットに被害をもたらしたことを受け、クロスチェーン取引を一時停止しました。
• Slowmistは根本原因をcall関数におけるアクセス制御と入力検証の欠如と特定しました。これにより任意のユーザーが許可なく悪意のあるクロスチェーン呼び出しを実行できる状態になっていました。
• このインシデントは、2024年以来最悪のDeFi流動性危機を引き起こしたKelpDAOのハッキングに続き、2026年4月における2件目の大規模なクロスチェーン攻撃となります。

Slowmistによる予備分析

同チームは、GatewayZEVMコントラクトのcall関数が侵入経路であると特定しました。この関数にはアクセス制御も入力検証も実装されておらず、この組み合わせにより、いかなる外部アドレスも許可なく悪意のあるクロスチェーン呼び出しをトリガーし、任意のターゲットへルーティングすることが可能となっていました。Wu Blockchainもその後まもなく、この根本原因を独自に確認しました。

Zetachainは、この脆弱性の悪用が自社の内部チームウォレット（推定30万ドル相当）に影響を与えたと述べ、ユーザーの資金には直接的な影響はなかったと付け加えました。同プロトコルは、セキュリティチームが侵害の全容を評価する間、クロスチェーン取引を一時停止しました。調査が終了次第、事後分析が発表される見込みです。

また、今月はじめにはKelpDAOの脆弱性が悪用され、分散型金融（DeFi）プロトコル全体で流動性の引き出しが相次ぎ、2024年以来最悪の流動性危機が発生したばかりという、クロスチェーンインフラにとって困難な時期での出来事となりました。一方、Arbitrumセキュリティ評議会は緊急措置として、KelpDAOの攻撃者と関連する30,766 ETHを凍結しました。

根本的な問題はアクセス制御にありました。

Slowmistの調査結果は、機密性の高い操作を扱う関数に対してアクセス制御が欠如しているか不十分であるという、スマートコントラクトのエクスプロイトに見られる繰り返されるパターンを改めて浮き彫りにしました。Zetachainの場合、GatewayZEVM内のcall関数は権限チェックなしに任意の外部アドレスからデプロイ可能であり、これにより任意の入力が正当なクロスチェーン命令として処理される余地が残されていました。

入力検証のチェックポイントが存在しなかったこともリスクを拡大させました。関数が受け取るデータの検証がないため、攻撃者は任意のペイロードを構築し、それをチェーンをまたいで意図しない宛先に送信することが可能になります（これにより、契約ロジック内の想定された信頼境界を迂回することになります）。

セキュリティ研究者は一貫して、不十分なアクセス制御を、本番環境のスマートコントラクトにおいて最も一般的かつ防止可能な脆弱性の1つとして指摘してきました。ZetachainのGatewayZEVMコントラクトがデプロイ前に第三者による正式なセキュリティ監査を受けていたかどうかは、確認されていません。