Zetachain приостановила работу основной сети после того, как уязвимость контракта GatewayZEVM была использована для атак на кошельки протокола

Основные выводы:

• Zetachain приостановил межсетевые транзакции во вторник после того, как эксплойт, нацеленный на функцию вызова контракта GatewayZEVM, затронул внутренние кошельки команды.
• Slowmist определила первопричину как отсутствие контроля доступа и проверки входных данных в функции вызова, что позволяло любому пользователю инициировать вредоносные межсетевые вызовы без авторизации.
• Этот инцидент стал вторым крупным межсетевым взломом в апреле 2026 года после взлома KelpDAO, который вызвал самый серьезный кризис ликвидности DeFi с 2024 года.

Предварительный анализ Slowmist

Команда определила функцию вызова контракта GatewayZEVM в качестве точки входа. Функция не содержала ни контроля доступа, ни проверки входных данных, что позволяло любому внешнему адресу без авторизации инициировать вредоносные межсетевые вызовы и направлять их к произвольным целям. Вскоре после этого Wu Blockchain независимо подтвердила первопричину.

Zetachain сообщила, что уязвимость затронула кошельки ее собственной внутренней команды (оцениваемые в 300 тысяч долларов), добавив, что средства пользователей не пострадали напрямую. Протокол приостановил межсетевые транзакции, пока его команда безопасности оценивала полный масштаб утечки. Ожидается, что после завершения расследования будет опубликован отчет о произошедшем.

Кроме того, инцидент произошел в сложный момент для межсетевой инфраструктуры, поскольку в начале этого месяца уязвимость KelpDAO вызвала цепную реакцию вывода ликвидности из протоколов децентрализованных финансов (DeFi), что привело к самому серьезному кризису в DeFi с 2024 года. Однако Совет безопасности Arbitrum принял экстренные меры по заморозке 30 766 ETH, связанных с злоумышленником KelpDAO.

Основной проблемой был контроль доступа

Выводы Slowmist вновь подчеркнули повторяющуюся схему в эксплойтах смарт-контрактов, когда отсутствуют или недостаточны средства контроля доступа к функциям, обрабатывающим конфиденциальные операции. В случае Zetachain функция вызова в GatewayZEVM могла быть запущена любым внешним адресом без проверки разрешений, что открывало возможность обработки произвольных входных данных в качестве легитимных межсетевых инструкций.

Отсутствие механизма проверки входных данных усугубило риск, поскольку без проверки того, какие данные получает функция, злоумышленники могут создать вредоносную нагрузку и направить ее в непреднамеренные места назначения по цепочкам (обходя любые предполагаемые границы доверия в логике контракта).

Исследователи в области безопасности постоянно отмечают недостаточный контроль доступа как одну из наиболее распространенных и предотвратимых уязвимостей в действующих смарт-контрактах. Не подтверждено, прошел ли контракт GatewayZEVM Zetachain формальный независимый аудит безопасности перед развертыванием.