Zetachain menggantung mainnetnya pada 28 April selepas satu kerentanan dalam kontrak pintar GatewayZEVM dieksploitasi, dengan penyelidik keselamatan mengesahkan punca utama dalam masa beberapa jam selepas insiden itu.
Zetachain Menggantung Mainnet Selepas Eksploit Kontrak GatewayZEVM Menyasarkan Dompet Protokol
DITULIS OLEH
KONGSI
Pengambilan Utama:
- Zetachain menggantung transaksi rentas-rantaian pada hari Selasa selepas satu eksploit yang menyasarkan fungsi call kontrak GatewayZEVM menjejaskan dompet dalaman pasukan.
- Slowmist mengenal pasti punca utama sebagai ketiadaan kawalan akses dan pengesahan input dalam fungsi call, yang membolehkan mana-mana pengguna mencetuskan panggilan rentas-rantaian berbahaya tanpa kebenaran.
- Insiden ini menandakan eksploit rentas-rantaian besar kedua pada April 2026, susulan penggodaman KelpDAO yang mencetuskan kekangan kecairan DeFi terburuk sejak 2024.
Analisis Awal Slowmist
Pasukan mengenal pasti fungsi call kontrak GatewayZEVM sebagai titik kemasukan. Fungsi itu tidak mempunyai kawalan akses dan tiada pengesahan input, satu gabungan yang membolehkan mana-mana alamat luaran, tanpa kebenaran, mencetuskan panggilan rentas-rantaian berbahaya dan mengarahkannya ke sasaran sewenang-wenangnya. Wu Blockchain secara bebas mengesahkan punca utama tidak lama selepas itu.
Zetachain berkata eksploit itu menjejaskan dompet dalaman pasukannya sendiri (dianggarkan bernilai $300k), sambil menambah bahawa dana pengguna tidak terjejas secara langsung. Protokol itu menggantung transaksi rentas-rantaian sementara pasukan keselamatannya menilai skop penuh pencerobohan tersebut. Laporan pasca-mortem dijangka dikeluarkan selepas siasatan selesai.
Selain itu, insiden ini berlaku pada saat yang sukar bagi infrastruktur rentas-rantaian kerana awal bulan ini, eksploit KelpDAO mencetuskan rentetan pengeluaran kecairan merentasi protokol kewangan terdesentralisasi (DeFi), mengakibatkan kekangan terburuk dalam DeFi sejak 2024. Walau bagaimanapun, Majlis Keselamatan Arbitrum mengambil tindakan kecemasan untuk membekukan 30,766 ETH yang dikaitkan dengan pengeksploit KelpDAO.
Kawalan Akses Adalah Isu Teras
Dapatan Slowmist sekali lagi menonjolkan corak berulang dalam eksploit kontrak pintar apabila kawalan akses yang hilang atau tidak mencukupi dikenakan pada fungsi yang mengendalikan operasi sensitif. Dalam kes Zetachain, fungsi call dalam GatewayZEVM boleh digunakan oleh mana-mana alamat luaran tanpa semakan kebenaran, sekali gus membuka ruang untuk input sewenang-wenangnya diproses sebagai arahan rentas-rantaian yang sah.
Ketiadaan mekanisme hentian pengesahan input memburukkan lagi risiko kerana, tanpa semakan terhadap data yang diterima oleh fungsi itu, penyerang boleh membina muatan berbahaya dan mengarahkannya ke destinasi yang tidak dimaksudkan merentasi rantaian (memintas sebarang sempadan kepercayaan yang diandaikan dalam logik kontrak).
Penyelidik keselamatan secara konsisten menandakan kawalan akses yang tidak mencukupi sebagai salah satu kerentanan paling biasa dan boleh dicegah dalam kontrak pintar produksi. Sama ada kontrak GatewayZEVM Zetachain telah menjalani audit keselamatan rasmi pihak ketiga sebelum pelancaran masih belum disahkan.
