Zetachain pozastavil prevádzku hlavnej siete po tom, čo sa zneužitie zmluvy GatewayZEVM zameralo na peňaženky protokolu

Kľúčové body:

• Zetachain v utorok pozastavil transakcie medzi reťazcami po tom, čo exploit zameraný na volacie funkcie zmluvy GatewayZEVM zasiahol interné peňaženky tímu.
• Spoločnosť Slowmist identifikovala hlavnú príčinu ako chýbajúcu kontrolu prístupu a overenie vstupov vo funkcii volania, čo umožňovalo akémukoľvek používateľovi spúšťať škodlivé medzi-reťazcové volania bez autorizácie.
• Tento incident je druhým významným medzi-reťazcovým útokom v apríli 2026, po hacku KelpDAO, ktorý vyvolal najhoršiu krízu likvidity DeFi od roku 2024.

Predbežná analýza spoločnosti Slowmist

Tím identifikoval funkciu volania zmluvy GatewayZEVM ako vstupný bod. Funkcia neobsahovala žiadnu kontrolu prístupu ani overenie vstupných údajov, čo v kombinácii umožňovalo akejkoľvek externej adrese bez autorizácie spúšťať škodlivé medzi-reťazcové volania a smerovať ich na ľubovoľné ciele. Wu Blockchain nezávisle potvrdil hlavnú príčinu krátko nato.

Zetachain uviedol, že exploit ovplyvnil peňaženky jeho vlastného interného tímu (ich hodnota sa odhaduje na 300 000 USD), pričom dodal, že prostriedky používateľov neboli priamo ovplyvnené. Protokol pozastavil transakcie medzi reťazcami, kým jeho bezpečnostný tím posúdil celý rozsah narušenia. Po ukončení vyšetrovania sa očakáva analýza príčin.

Navyše sa tento incident vyskytol v ťažkom momente pre medzireťazovú infraštruktúru, keďže začiatkom tohto mesiaca exploit KelpDAO spustil kaskádu výberov likvidity v rámci protokolov decentralizovaného financovania (DeFi), čo viedlo k najhoršej kríze v DeFi od roku 2024. Bezpečnostná rada Arbitrum však prijala núdzové opatrenia na zmrazenie 30 766 ETH spojených s útočníkom KelpDAO.

Kontrola prístupu bola základným problémom

Zistenia spoločnosti Slowmist opäť poukázali na opakujúci sa vzorec v exploitov smart kontraktov, kde chýbajú alebo sú nedostatočné kontroly prístupu na funkcie, ktoré spracovávajú citlivé operácie. V prípade Zetachainu bola funkcia call v GatewayZEVM nasaditeľná z akejkoľvek externej adresy bez kontroly oprávnení, čo otvorilo dvere na spracovanie ľubovoľných vstupov ako legitímnych medzi-reťazcových inštrukcií.

Absencia bezpečnostnej bariéry na overenie vstupov riziko ešte zhoršila, pretože bez kontroly údajov, ktoré funkcia prijíma, môžu útočníci vytvoriť škodlivý obsah a nasmerovať ho na neúmyselné ciele naprieč reťazcami (obídením akýchkoľvek predpokladaných hraníc dôvery v rámci logiky zmluvy).

Bezpečnostní výskumníci neustále upozorňujú na nedostatočné kontroly prístupu ako na jednu z najbežnejších a najľahšie predchádzateľných zraniteľností v produkčných inteligentných zmluvách. Nie je potvrdené, či zmluva GatewayZEVM spoločnosti Zetachain prešla pred nasadením formálnym bezpečnostným auditom treťou stranou.