Zetachain ระงับการทำงานของเมนเน็ตชั่วคราว หลังการโจมตีช่องโหว่สัญญา GatewayZEVM มุ่งเป้าไปที่กระเป๋าเงินของโปรโตคอล

ประเด็นสำคัญ:

• Zetachain ได้ระงับธุรกรรมข้ามเชนเมื่อวันอังคาร หลังเกิดการโจมตีที่มุ่งเป้าไปยังฟังก์ชัน call ของสัญญา GatewayZEVM และกระทบกับวอลเล็ตของทีมภายใน
• Slowmist ระบุว่าสาเหตุหลักคือการขาดการควบคุมสิทธิ์การเข้าถึงและการตรวจสอบความถูกต้องของอินพุตในฟังก์ชัน call ทำให้ผู้ใช้รายใดก็ได้สามารถกระตุ้นการเรียกข้ามเชนที่เป็นอันตรายได้โดยไม่ได้รับอนุญาต
• เหตุการณ์นี้นับเป็นการโจมตีข้ามเชนครั้งใหญ่ครั้งที่สองในเดือนเมษายน 2026 ต่อจากการแฮ็ก KelpDAO ที่จุดชนวนวิกฤตสภาพคล่อง DeFi ที่เลวร้ายที่สุดนับตั้งแต่ปี 2024

การวิเคราะห์เบื้องต้นของ Slowmist

ทีมได้ ชี้ชัด ว่าฟังก์ชัน call ของสัญญา GatewayZEVM เป็นจุดทางเข้า โดยฟังก์ชันดังกล่าวไม่มีการควบคุมสิทธิ์การเข้าถึงและไม่มีการตรวจสอบความถูกต้องของอินพุต ซึ่งเป็นการผสมกันที่ทำให้ที่อยู่ภายนอกใดๆ โดยไม่ต้องได้รับอนุญาต สามารถกระตุ้นการเรียกข้ามเชนที่เป็นอันตรายและส่งต่อไปยังเป้าหมายใดก็ได้ตามต้องการ Wu Blockchain ยืนยันสาเหตุหลักอย่างเป็นอิสระ ในเวลาไม่นานหลังจากนั้น

Zetachain ระบุว่าการโจมตีส่งผลกระทบต่อวอลเล็ตของทีมภายในของตนเอง (ประเมินมูลค่าราว 300,000 ดอลลาร์) พร้อมเสริมว่าเงินทุนของผู้ใช้ไม่ได้รับผลกระทบโดยตรง โปรโตคอลได้ระงับธุรกรรมข้ามเชนในระหว่างที่ทีมความปลอดภัยประเมินขอบเขตทั้งหมดของการละเมิดดังกล่าว โดยคาดว่าจะมีรายงานสรุปหลังเหตุการณ์ (post-mortem) เมื่อการสืบสวนเสร็จสิ้น

นอกจากนี้ เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่โครงสร้างพื้นฐานข้ามเชนเผชิญแรงกดดัน เนื่องจากเมื่อต้นเดือนนี้ การโจมตี KelpDAO ได้จุดชนวนการถอนสภาพคล่องเป็นลูกโซ่ทั่วโปรโตคอลการเงินแบบกระจายศูนย์ (DeFi) ส่งผลให้เกิดภาวะตึงตัวของสภาพคล่องใน DeFi ที่เลวร้ายที่สุดนับตั้งแต่ปี 2024 อย่างไรก็ดี สภาความปลอดภัยของ Arbitrum ได้ดำเนินการ มาตรการฉุกเฉินเพื่ออายัด 30,766 ETH ที่เชื่อมโยงกับผู้โจมตี KelpDAO

การควบคุมสิทธิ์การเข้าถึงคือปัญหารากฐาน

ผลการค้นพบของ Slowmist ได้ตอกย้ำอีกครั้งถึงรูปแบบที่เกิดซ้ำในการโจมตีสัญญาอัจฉริยะ ซึ่งมักเกิดจากการขาดหรือมีการควบคุมสิทธิ์การเข้าถึงที่ไม่เพียงพอในฟังก์ชันที่จัดการการดำเนินการที่อ่อนไหว ในกรณีของ Zetachain ฟังก์ชัน call ใน GatewayZEVM สามารถถูกเรียกใช้งานได้โดยที่อยู่ภายนอกใดๆ โดยไม่มีการตรวจสอบสิทธิ์ ทำให้เปิดช่องให้รับอินพุตตามอำเภอใจและประมวลผลเสมือนเป็นคำสั่งข้ามเชนที่ถูกต้อง

การไม่มี “ตัวหยุดความเสี่ยง” สำหรับการตรวจสอบอินพุตยิ่งเพิ่มความเสี่ยง เพราะหากไม่มีการตรวจสอบว่าฟังก์ชันได้รับข้อมูลอะไร ผู้โจมตีสามารถสร้างเพย์โหลดที่เป็นอันตรายและส่งไปยังปลายทางที่ไม่ได้ตั้งใจข้ามเชนต่างๆ ได้ (โดยหลีกเลี่ยงขอบเขตความน่าเชื่อถือที่อาจถูกสมมติไว้ภายในตรรกะของสัญญา)

นักวิจัยด้านความปลอดภัยได้ชี้ประเด็นเรื่องการควบคุมสิทธิ์การเข้าถึงที่ไม่เพียงพอมาโดยตลอดว่าเป็นหนึ่งในช่องโหว่ที่พบบ่อยที่สุดและป้องกันได้ในสัญญาอัจฉริยะที่ใช้งานจริง อย่างไรก็ตาม ยังไม่มีการยืนยันว่าสัญญา GatewayZEVM ของ Zetachain ได้ผ่านการตรวจสอบความปลอดภัยอย่างเป็นทางการโดยบุคคลที่สามก่อนนำไปใช้งานหรือไม่