Zetachain satte hovednettet på pause 28. april etter at en sårbarhet i GatewayZEVM-smartkontrakten ble utnyttet, og sikkerhetsforskere bekreftet rotårsaken innen få timer etter hendelsen.
Zetachain setter hovednettet på pause etter utnyttelse av GatewayZEVM-kontrakten som retter seg mot protokollens lommebøker
SKREVET AV
DEL
Viktige punkter:
- Zetachain satte krysskjedetransaksjoner på pause tirsdag etter at et angrep rettet mot GatewayZEVM-kontraktens call-funksjon traff interne teamlommebøker.
- Slowmist identifiserte rotårsaken som manglende tilgangskontroll og inputvalidering i call-funksjonen, noe som gjorde at enhver bruker kunne utløse ondsinnede krysskjedekall uten autorisasjon.
- Hendelsen markerer det andre store krysskjedet-angrepet i april 2026, etter KelpDAO-hacken som utløste den verste DeFi-likviditetsklemmen siden 2024.
Slowmists foreløpige analyse
Teamet fastslo at GatewayZEVM-kontraktens call-funksjon var inngangspunktet. Funksjonen hadde ingen tilgangskontroll og ingen inputvalidering, en kombinasjon som gjorde at enhver ekstern adresse, uten autorisasjon, kunne utløse ondsinnede krysskjedekall og rute dem mot vilkårlige mål. Wu Blockchain bekreftet uavhengig rotårsaken kort tid etter.
Zetachain opplyste at angrepet rammet deres egne interne teamlommebøker (anslått verdi på 300 000 dollar), og la til at brukermidler ikke ble direkte påvirket. Protokollen satte krysskjedetransaksjoner på pause mens sikkerhetsteamet vurderte det fulle omfanget av bruddet. En post-mortem forventes når undersøkelsen er avsluttet.
Videre kommer hendelsen på et vanskelig tidspunkt for krysskjedet infrastruktur, ettersom tidligere denne måneden KelpDAO-utnyttelsen utløste en kaskade av likviditetsuttak på tvers av desentraliserte finansprotokoller (DeFi), noe som resulterte i den verste klemmen i DeFi siden 2024. Arbitrum Security Council iverksatte imidlertid nødtiltak for å fryse 30 766 ETH knyttet til KelpDAO-angriperen.
Tilgangskontroll var hovedproblemet
Slowmists funn har nok en gang synliggjort et tilbakevendende mønster i smartkontraktutnyttelser, der manglende eller utilstrekkelige tilgangskontroller brukes på funksjoner som håndterer sensitive operasjoner. I Zetachains tilfelle kunne call-funksjonen i GatewayZEVM brukes av enhver ekstern adresse uten noen tillatelsessjekk, noe som åpnet for at vilkårlige input kunne behandles som legitime krysskjedinstruksjoner.
Fraværet av en inputvaliderende «stoppkloss» forsterket risikoen fordi uten kontroller av hvilke data funksjonen mottar, kan angripere utforme en ondsinnet nyttelast og styre den til utilsiktede destinasjoner på tvers av kjeder (og dermed omgå antatte tillitsgrenser i kontraktlogikken).
Sikkerhetsforskere har konsekvent pekt på utilstrekkelige tilgangskontroller som en av de vanligste og mest forebyggbare sårbarhetene i smartkontrakter i produksjon. Om Zetachains GatewayZEVM-kontrakt hadde gjennomgått en formell tredjeparts sikkerhetsrevisjon før utrulling, er ikke bekreftet.
