Zetachain suspendă rețeaua principală după ce o vulnerabilitate a contractului GatewayZEVM a vizat portofelele protocolului

Puncte cheie:

• Zetachain a suspendat tranzacțiile cross-chain marți, după ce o exploatare care viza funcția de apel a contractului GatewayZEVM a afectat portofelele interne ale echipei.
• Slowmist a identificat cauza principală ca fiind lipsa controlului accesului și a validării datelor de intrare în funcția de apel, ceea ce permitea oricărui utilizator să declanșeze apeluri inter-lanțuri rău intenționate fără autorizare.
• Incidentul marchează a doua exploatare majoră inter-lanț din aprilie 2026, după hack-ul KelpDAO care a declanșat cea mai gravă criză de lichiditate DeFi din 2024.

Analiza preliminară a Slowmist

Echipa a identificat funcția de apel a contractului GatewayZEVM ca fiind punctul de intrare. Funcția nu conținea niciun control de acces și nicio validare a datelor de intrare, o combinație care a permis oricărei adrese externe, fără autorizare, să declanșeze apeluri cross-chain rău intenționate și să le direcționeze către ținte arbitrare. Wu Blockchain a confirmat independent cauza principală la scurt timp după aceea.

Zetachain a declarat că exploatarea a afectat propriile portofele interne ale echipei (estimată la o valoare de 300.000 de dolari), adăugând că fondurile utilizatorilor nu au fost afectate direct. Protocolul a suspendat tranzacțiile inter-lanț în timp ce echipa sa de securitate a evaluat amploarea completă a breșei. Se așteaptă o analiză post-mortem odată ce ancheta se va încheia.

Mai mult, incidentul survine într-un moment dificil pentru infrastructura inter-lanț, întrucât la începutul acestei luni, vulnerabilitatea KelpDAO a declanșat o serie de retrageri de lichidități din protocoalele de finanțare descentralizată (DeFi), ducând la cea mai gravă criză din DeFi din 2024. Consiliul de Securitate Arbitrum a luat însă măsuri de urgență pentru a îngheța 30.766 ETH legați de exploatatorul KelpDAO.

Controlul accesului a fost problema principală

Constatările Slowmist au evidențiat încă o dată un model recurent în exploatările contractelor inteligente, în care controalele de acces lipsesc sau sunt insuficiente pentru funcțiile care gestionează operațiuni sensibile. În cazul Zetachain, funcția de apel din GatewayZEVM putea fi implementată de orice adresă externă fără verificarea permisiunilor, lăsând ușa deschisă pentru ca intrările arbitrare să fie procesate ca instrucțiuni inter-lanț legitime.

Absența unui mecanism de validare a intrărilor a agravat riscul deoarece, fără verificări ale datelor primite de funcție, atacatorii pot crea o sarcină utilă rău intenționată și o pot direcționa către destinații neintenționate între lanțuri (ocolind orice limite de încredere presupuse în logica contractului).

Cercetătorii în domeniul securității au semnalat în mod constant controalele insuficiente de acces ca fiind una dintre cele mai comune și prevenibile vulnerabilități din contractele inteligente de producție. Nu s-a confirmat dacă contractul GatewayZEVM al Zetachain a fost supus unui audit formal de securitate efectuat de o terță parte înainte de implementare.