Zetachain suspende a rede principal após uma vulnerabilidade no contrato GatewayZEVM ter afetado as carteiras do protocolo

Pontos principais:

• A Zetachain suspendeu as transações entre cadeias na terça-feira após uma exploração direcionada à função de chamada do contrato GatewayZEVM atingir as carteiras da equipe interna.
• A Slowmist identificou a causa principal como a falta de controle de acesso e validação de entrada na função de chamada, permitindo que qualquer usuário acionasse chamadas entre cadeias maliciosas sem autorização.
• O incidente marca a segunda grande exploração entre cadeias em abril de 2026, após o hack da KelpDAO que desencadeou a pior crise de liquidez DeFi desde 2024.

Análise preliminar da Slowmist

A equipe identificou a função de chamada do contrato GatewayZEVM como o ponto de entrada. A função não continha controle de acesso nem validação de entrada, uma combinação que permitiu que qualquer endereço externo, sem autorização, acionasse chamadas maliciosas entre cadeias e as encaminhasse para alvos arbitrários. A Wu Blockchain confirmou a causa raiz de forma independente logo em seguida.

A Zetachain informou que a exploração afetou as carteiras de sua própria equipe interna (estimadas em US$ 300 mil), acrescentando que os fundos dos usuários não foram diretamente afetados. O protocolo suspendeu as transações entre cadeias enquanto sua equipe de segurança avaliava o escopo total da violação. Espera-se uma análise pós-incidente assim que a investigação for concluída.

Além disso, o incidente ocorre em um momento difícil para a infraestrutura entre cadeias, já que, no início deste mês, a exploração da KelpDAO desencadeou uma cascata de retiradas de liquidez em protocolos de finanças descentralizadas (DeFi), resultando na pior crise do DeFi desde 2024. O Conselho de Segurança da Arbitrum, no entanto, tomou medidas de emergência para congelar 30.766 ETH vinculados ao explorador da KelpDAO.

O controle de acesso foi a causa principal

As descobertas da Slowmist destacaram mais uma vez um padrão recorrente em explorações de contratos inteligentes, em que controles de acesso ausentes ou insuficientes são aplicados a funções que lidam com operações sensíveis. No caso da Zetachain, a função de chamada no GatewayZEVM podia ser executada por qualquer endereço externo sem verificação de permissão, deixando a porta aberta para que entradas arbitrárias fossem processadas como instruções entre cadeias legítimas.

A ausência de um mecanismo de validação de entradas agravou o risco porque, sem verificações sobre quais dados a função recebe, os invasores podem criar uma carga maliciosa e direcioná-la a destinos indesejados entre cadeias (contornando quaisquer limites de confiança presumidos dentro da lógica do contrato).

Pesquisadores de segurança têm consistentemente apontado controles de acesso insuficientes como uma das vulnerabilidades mais comuns e evitáveis em contratos inteligentes em produção. Não foi confirmado se o contrato GatewayZEVM da Zetachain passou por uma auditoria de segurança formal de terceiros antes da implantação.