Läs i appen
Drivs av
Crypto News

Zetachain pausar mainnet efter att en säkerhetsbrist i GatewayZEVM-kontraktet riktat sig mot protokollets plånböcker

Zetachain pausade sitt mainnet den 28 april efter att en sårbarhet i smartkontraktet GatewayZEVM utnyttjats, och säkerhetsforskare kunde fastställa den bakomliggande orsaken inom några timmar efter incidenten.

SKRIVEN AV
Shiraz JagatiShiraz Jagati
DELA
Zetachain pausar mainnet efter att en säkerhetsbrist i GatewayZEVM-kontraktet riktat sig mot protokollets plånböcker

Viktiga punkter:

  • Zetachain pausade kedjeöverskridande transaktioner på tisdagen efter att en attack riktad mot GatewayZEVM-kontraktets anropsfunktion drabbade interna teamplånböcker.
  • Slowmist identifierade den grundläggande orsaken som en saknad åtkomstkontroll och inmatningsvalidering i call-funktionen, vilket gjorde det möjligt för vilken användare som helst att utlösa skadliga kedjeöverskridande anrop utan behörighet.
  • Incidenten är den andra stora kedjeöverskridande exploateringen i april 2026, efter KelpDAO-hacket som utlöste den värsta likviditetskrisen inom DeFi sedan 2024.

Slowmists preliminära analys

Teamet pekade ut GatewayZEVM-kontraktets call-funktion som ingångspunkten. Funktionen innehöll varken åtkomstkontroll eller ingångsvalidering, en kombination som gjorde det möjligt för vilken extern adress som helst att utan behörighet utlösa skadliga kedjeöverskridande anrop och vidarebefordra dem till godtyckliga mål. Wu Blockchain bekräftade självständigt den grundläggande orsaken kort därefter.

Bildkälla: X
Zetachain uppgav att säkerhetsluckan påverkade deras egna interna teamplånböcker (uppskattade till ett värde av 300 000 dollar) och tillade att användarnas medel inte påverkades direkt. Protokollet pausade kedjeöverskridande transaktioner medan säkerhetsteamet utvärderade hela omfattningen av intrånget. En efteranalys förväntas när utredningen är avslutad.

Dessutom inträffar incidenten vid en svår tidpunkt för infrastrukturen för kedjeöverskridande transaktioner, eftersom KelpDAO-exploiten tidigare denna månad utlöste en kaskad av likviditetsuttag över protokoll för decentraliserad finans (DeFi), vilket resulterade i den värsta krisen inom DeFi sedan 2024. Arbitrum Security Council vidtog dock nödåtgärder för att frysa 30 766 ETH kopplade till KelpDAO-exploateraren.

Åtkomstkontroll var det grundläggande problemet

Slowmists fynd har återigen belyst ett återkommande mönster i utnyttjanden av smarta kontrakt, där saknade eller otillräckliga åtkomstkontroller tillämpas på funktioner som hanterar känsliga operationer. I Zetachains fall kunde anropsfunktionen i GatewayZEVM distribueras av vilken extern adress som helst utan behörighetskontroll, vilket lämnade dörren öppen för att godtyckliga ingångar skulle behandlas som legitima kedjeöverskridande instruktioner.

Avsaknaden av en säkerhetsmekanism för validering av indata förvärrade risken eftersom angripare, utan kontroller av vilka data funktionen tar emot, kan skapa en skadlig payload och rikta den mot oavsiktliga destinationer över kedjorna (och därmed kringgå alla antagna förtroendegränser inom kontraktslogiken).

Säkerhetsforskare har konsekvent pekat på otillräckliga åtkomstkontroller som en av de vanligaste och mest förebyggbara sårbarheterna i smarta kontrakt i produktion. Det har inte bekräftats om Zetachains GatewayZEVM-kontrakt hade genomgått en formell säkerhetsgranskning av tredje part före driftsättningen.

Taggar i denna artikel
OnchainSmart Contracts