Zetachain wstrzymuje działanie sieci głównej po tym, jak luka w kontrakcie GatewayZEVM została wykorzystana do ataku na portfele protokołu

Najważniejsze informacje:

• We wtorek Zetachain wstrzymał transakcje międzyłańcuchowe po tym, jak atak wykorzystujący lukę w funkcji wywołania kontraktu GatewayZEVM dotknął wewnętrzne portfele zespołu.
• Firma Slowmist zidentyfikowała główną przyczynę jako brak kontroli dostępu i walidacji danych wejściowych w funkcji wywołania, co pozwalało dowolnemu użytkownikowi na uruchamianie złośliwych wywołań międzyłańcuchowych bez upoważnienia.
• Incydent ten stanowi drugie poważne wykorzystanie luki międzyłańcuchowej w kwietniu 2026 r., po ataku na KelpDAO, który wywołał najgorszy kryzys płynności DeFi od 2024 r.

Wstępna analiza Slowmist

Zespół wskazał funkcję wywołania kontraktu GatewayZEVM jako punkt wejścia. Funkcja ta nie zawierała kontroli dostępu ani walidacji danych wejściowych, co w połączeniu pozwoliło dowolnemu adresowi zewnętrznemu, bez upoważnienia, wywołać złośliwe wywołania międzyłańcuchowe i skierować je do dowolnych celów. Wu Blockchain niezależnie potwierdziło przyczynę wkrótce potem.

Zetachain poinformował, że atak dotknął portfele wewnętrznego zespołu (szacowane na 300 tys. dolarów), dodając, że nie miało to bezpośredniego wpływu na środki użytkowników. Protokół wstrzymał transakcje międzyłańcuchowe, podczas gdy zespół ds. bezpieczeństwa oceniał pełny zakres naruszenia. Po zakończeniu dochodzenia spodziewana jest analiza po fakcie.

Co więcej, incydent ten ma miejsce w trudnym momencie dla infrastruktury międzyłańcuchowej, ponieważ na początku tego miesiąca exploit KelpDAO wywołał lawinę wycofywania płynności w protokołach zdecentralizowanych finansów (DeFi), co spowodowało najgorszy kryzys w DeFi od 2024 roku. Rada Bezpieczeństwa Arbitrum podjęła jednak działania nadzwyczajne, aby zamrozić 30 766 ETH powiązanych z osobą odpowiedzialną za exploit KelpDAO.

Kontrola dostępu była podstawowym problemem

Wyniki badań Slowmist po raz kolejny uwypukliły powtarzający się schemat w exploitach smart kontraktów, gdzie brakuje lub są niewystarczające kontrole dostępu do funkcji obsługujących wrażliwe operacje. W przypadku Zetachain funkcja wywołania w GatewayZEVM mogła być wdrożona przez dowolny adres zewnętrzny bez sprawdzania uprawnień, pozostawiając furtkę dla dowolnych danych wejściowych, które były przetwarzane jako legalne instrukcje międzyłańcuchowe.

Brak mechanizmu blokującego walidację danych wejściowych zwiększył ryzyko, ponieważ bez sprawdzania danych odbieranych przez funkcję atakujący mogą stworzyć złośliwy ładunek i skierować go do niezamierzonych miejsc docelowych w różnych łańcuchach (omijając wszelkie zakładane granice zaufania w logice kontraktu).

Badacze bezpieczeństwa konsekwentnie wskazują na niewystarczające kontrole dostępu jako jedną z najczęstszych i możliwych do uniknięcia luk w zabezpieczeniach produkcyjnych smart kontraktów. Nie zostało potwierdzone, czy kontrakt GatewayZEVM firmy Zetachain przeszedł formalny audyt bezpieczeństwa przeprowadzony przez stronę trzecią przed wdrożeniem.