Zetachain zet mainnet stil nadat een kwetsbaarheid in het GatewayZEVM-contract werd misbruikt om protocol-wallets aan te vallen

Belangrijkste punten:

• Zetachain heeft dinsdag cross-chain transacties opgeschort nadat een exploit gericht op de call-functie van het GatewayZEVM-contract interne team-wallets trof.
• Slowmist identificeerde de oorzaak als een ontbrekende toegangscontrole en invoervalidatie in de call-functie, waardoor elke gebruiker zonder toestemming kwaadaardige cross-chain-calls kon activeren.
• Het incident is de tweede grote cross-chain-exploit in april 2026, na de KelpDAO-hack die de ergste DeFi-liquiditeitscrisis sinds 2024 veroorzaakte.

Voorlopige analyse van Slowmist

Het team wees de call-functie van het GatewayZEVM-contract aan als het toegangspunt. De functie bevatte geen toegangscontrole en geen invoervalidatie, een combinatie die het voor elk extern adres mogelijk maakte om zonder toestemming kwaadaardige cross-chain-aanroepen te activeren en deze naar willekeurige doelen te sturen. Wu Blockchain bevestigde de hoofdoorzaak kort daarna onafhankelijk.

Zetachain zei dat de exploit de eigen interne team-wallets trof (met een geschatte waarde van $ 300.000), en voegde eraan toe dat de fondsen van gebruikers niet direct werden beïnvloed. Het protocol heeft cross-chain transacties opgeschort terwijl het beveiligingsteam de volledige omvang van de inbreuk beoordeelde. Een post-mortem wordt verwacht zodra het onderzoek is afgerond.

Bovendien komt het incident op een moeilijk moment voor de cross-chain-infrastructuur, aangezien eerder deze maand de KelpDAO-exploit een cascade van liquiditeitsopnames veroorzaakte in gedecentraliseerde financiële (DeFi) protocollen, wat resulteerde in de ergste crisis in DeFi sinds 2024. De Arbitrum Security Council nam echter noodmaatregelen om 30.766 ETH te bevriezen die gekoppeld waren aan de KelpDAO-exploiter.

Toegangscontrole was de hoofdoorzaak

De bevindingen van Slowmist hebben eens te meer een terugkerend patroon in smart contract-exploits aan het licht gebracht, waarbij ontbrekende of onvoldoende toegangscontroles worden toegepast op functies die gevoelige operaties afhandelen. In het geval van Zetachain kon de call-functie in GatewayZEVM door elk extern adres worden ingezet zonder toestemmingscontrole, waardoor de deur openstond voor willekeurige inputs die als legitieme cross-chain-instructies werden verwerkt.

Het ontbreken van een stopmechanisme voor invoervalidatie vergrootte het risico, omdat aanvallers, zonder controle op de gegevens die de functie ontvangt, een kwaadaardige payload kunnen samenstellen en deze naar onbedoelde bestemmingen over de keten heen kunnen sturen (waarbij ze alle veronderstelde vertrouwensgrenzen binnen de contractlogica omzeilen).

Beveiligingsonderzoekers hebben onvoldoende toegangscontroles consequent aangemerkt als een van de meest voorkomende en te voorkomen kwetsbaarheden in smart contracts in productie. Of het GatewayZEVM-contract van Zetachain vóór de implementatie een formele beveiligingsaudit door een derde partij heeft ondergaan, is niet bevestigd.