게이트웨이ZEVM 계약의 취약점을 악용해 프로토콜 지갑을 노린 공격 발생으로 제타체인(Zetachain), 메인넷 운영 일시 중단

• 제타체인(Zetachain)은 화요일, GatewayZEVM 계약의 호출(call) 기능을 노린 공격이 내부 팀 지갑을 타격한 후 크로스체인 거래를 일시 중단했습니다.
• 슬로우미스트(Slowmist)는 근본 원인을 call 함수 내 접근 제어 및 입력 검증 누락으로 지목했으며, 이로 인해 권한 없이도 모든 사용자가 악의적인 크로스체인 호출을 유발할 수 있었다.
• 이번 사건은 2024년 이후 최악의 디파이(DeFi) 유동성 위기를 촉발했던 켈프DAO(KelpDAO) 해킹에 이어, 2026년 4월 발생한 두 번째 주요 크로스체인 악용 사례입니다.

슬로우미스트의 예비 분석

팀은 GatewayZEVM 계약의 call 함수를 침입 지점으로 특정했다. 해당 함수에는 접근 제어 및 입력 유효성 검사가 전혀 포함되어 있지 않았으며, 이로 인해 승인 없이도 외부 주소가 악의적인 크로스체인 호출을 유발하고 이를 임의의 대상으로 전송할 수 있었다. Wu Blockchain은 그 직후 이 근본 원인을 독립적으로 확인했다.

Zetachain은 이번 공격으로 자체 내부 팀 지갑(약 30만 달러 상당으로 추정)이 피해를 입었으나, 사용자 자금은 직접적인 영향을 받지 않았다고 밝혔다. 프로토콜은 보안팀이 침해의 전체 범위를 평가하는 동안 크로스체인 거래를 일시 중단했다. 조사가 마무리되면 사후 분석 보고서가 발표될 예정이다.

게다가 이번 사건은 크로스체인 인프라에 있어 어려운 시기에 발생했다. 이달 초 켈프DAO(KelpDAO) 해킹으로 인해 탈중앙화 금융(DeFi) 프로토콜 전반에 걸쳐 유동성 인출 사태가 연쇄적으로 발생했고, 이는 2024년 이후 DeFi 분야에서 최악의 유동성 위기로 이어졌기 때문이다. 그러나 아비트럼(Arbitrum) 보안 위원회는 긴급 조치를 취해 켈프DAO 해커와 연관된 30,766 ETH를 동결했다.

접근 제어가 근본적인 문제

슬로우미스트(Slowmist)의 조사 결과는 민감한 작업을 처리하는 함수에 대한 접근 제어 기능이 누락되거나 불충분한 경우가 스마트 계약 해킹의 반복되는 패턴임을 다시 한번 부각시켰습니다. 제타체인(Zetachain)의 경우, 게이트웨이ZEVM(GatewayZEVM)의 호출 함수는 권한 확인 없이 어떤 외부 주소에서도 배포할 수 있었으며, 이로 인해 임의의 입력이 합법적인 크로스체인 명령어로 처리될 수 있는 여지가 남게 되었습니다.

입력 검증 메커니즘의 부재는 위험을 가중시켰습니다. 함수가 수신하는 데이터에 대한 검증이 없기 때문에, 공격자는 악성 페이로드를 제작하여 체인 간 의도하지 않은 목적지로 전송할 수 있었기 때문입니다(이는 계약 로직 내의 가정된 신뢰 경계를 우회하는 행위입니다).

보안 연구원들은 생산 환경의 스마트 계약에서 가장 흔하고 예방 가능한 취약점 중 하나로 접근 제어의 미흡함을 지속적으로 지적해 왔습니다. Zetachain의 GatewayZEVM 계약이 배포 전에 제3자 보안 감사를 거쳤는지는 확인되지 않았습니다.