Zetachain je začasno ustavil delovanje glavnega omrežja, potem ko je izkoriščanje ranljivosti pogodbe GatewayZEVM ogrozilo denarnice protokola

Ključne ugotovitve:

• Zetachain je v torek začasno ustavil transakcije med verigami, potem ko je izkoriščanje, usmerjeno v funkcijo klica pogodbe GatewayZEVM, prizadelo notranje denarnice ekipe.
• Slowmist je kot glavni vzrok identificiral manjkajoči nadzor dostopa in preverjanje vnosa v funkciji klica, kar je omogočilo kateremu koli uporabniku, da brez pooblastila sproži zlonamerne medverige klice.
• Incident je drugi večji medverigovni izkoriščevalski napad v aprilu 2026, ki sledi hekerskemu napadu na KelpDAO, ki je sprožil najhujšo likvidnostno krizo v DeFi od leta 2024.

Predhodna analiza podjetja Slowmist

Ekipa je kot vstopno točko natančno določila funkcijo klica pogodbe GatewayZEVM. Funkcija ni vsebovala nadzora dostopa in preverjanja vnosa, kar je omogočilo kateremu koli zunanjemu naslovu, da brez pooblastila sproži zlonamerne medverigovne klice in jih usmeri proti poljubnim ciljem. Wu Blockchain je kmalu zatem neodvisno potrdil glavni vzrok.

Zetachain je dejal, da je izkoriščanje vplivalo na denarnice lastne interne ekipe (ocenjene na 300.000 dolarjev), ter dodal, da sredstva uporabnikov niso bila neposredno prizadeta. Protokol je začasno ustavil medverige transakcije, medtem ko je njegova varnostna ekipa ocenjevala celoten obseg kršitve. Po koncu preiskave se pričakuje poročilo o dogodku.

Poleg tega se incident dogaja v težkem trenutku za medverigovno infrastrukturo, saj je izkoriščanje KelpDAO v začetku tega meseca sprožilo verižno umikanje likvidnosti v protokolih decentraliziranega financiranja (DeFi), kar je povzročilo najhujšo krizo v DeFi od leta 2024. Varnostni svet Arbitrum je vendar sprejel nujne ukrepe za zamrznitev 30.766 ETH, povezanih z izkoriščevalcem KelpDAO.

Nadzor dostopa je bil glavni problem

Ugotovitve podjetja Slowmist so ponovno poudarile ponavljajoči se vzorec pri izkoriščanju pametnih pogodb, kjer se na funkcije, ki obdelujejo občutljive operacije, ne uporabljajo nobeni ali pa so nezadostni nadzori dostopa. V primeru Zetachain je bilo mogoče funkcijo klica v GatewayZEVM uporabiti s katerega koli zunanjega naslova brez preverjanja dovoljenj, kar je pustilo vrata odprta za obdelavo poljubnih vnosov kot legitimnih navodil med verigami.

Odsotnost zaustavitve za preverjanje veljavnosti vnosa je povečala tveganje, saj lahko napadalci brez preverjanja podatkov, ki jih funkcija prejme, ustvarijo zlonameren tovor in ga usmerijo na nezaželene destinacije prek verig (pri čemer zaobidejo vse domnevne meje zaupanja znotraj logike pogodbe).

Varnostni raziskovalci so dosledno opozarjali na nezadostne kontrole dostopa kot eno najpogostejših in preprečljivih ranljivosti v pametnih pogodbah v produkciji. Ni potrjeno, ali je pogodba GatewayZEVM podjetja Zetachain pred razporeditvijo prestala formalni varnostni pregled s strani tretje osebe.