Ipinahinto ng Zetachain ang mainnet nito noong Abril 28 matapos mapagsamantalahan ang isang kahinaan sa smart contract nitong GatewayZEVM, at kinumpirma ng mga mananaliksik sa seguridad ang ugat ng problema sa loob lamang ng ilang oras mula sa insidente.
Ipinahinto ng Zetachain ang Mainnet matapos ang pagsasamantala sa kontratang GatewayZEVM na tumarget sa mga protocol wallet
ISINULAT NI
IBAHAGI
Mga Pangunahing Punto:
- Ipinahinto ng Zetachain ang mga cross-chain na transaksyon noong Martes matapos tamaan ng isang exploit na tumarget sa call function ng kontratang GatewayZEVM ang mga internal na wallet ng team.
- Tinukoy ng Slowmist ang ugat ng problema bilang kakulangan ng access control at input validation sa call function, na nagbigay-daan sa sinumang user na mag-trigger ng masasamang cross-chain call nang walang awtorisasyon.
- Ang insidenteng ito ang ikalawang malaking cross-chain exploit noong Abril 2026, kasunod ng KelpDAO hack na nagpasimula ng pinakamalalang DeFi liquidity crunch mula noong 2024.
Paunang Pagsusuri ng Slowmist
Tinukoy ng team ang call function ng kontratang GatewayZEVM bilang entry point. Walang access control at walang input validation ang function—isang kombinasyong nagbigay-daan sa anumang external address, nang walang awtorisasyon, na mag-trigger ng masasamang cross-chain call at idirekta ang mga ito patungo sa mga arbitraryong target. Si Wu Blockchain ay hiwalay na kinumpirma ang ugat ng problema makalipas ang ilang sandali.
Sinabi ng Zetachain na naapektuhan ng exploit ang sarili nitong internal na wallet ng team (tinatayang nagkakahalaga ng $300k), at idinagdag na hindi direktang naapektuhan ang pondo ng mga user. Ipinahinto ng protocol ang mga cross-chain na transaksyon habang sinusuri ng security team nito ang buong saklaw ng paglabag. Inaasahan ang isang post-mortem kapag natapos ang imbestigasyon.
Bukod dito, dumating ang insidente sa isang mahirap na sandali para sa cross-chain infrastructure dahil mas maaga ngayong buwan, ang KelpDAO exploit ay nagpasimula ng sunod-sunod na pag-withdraw ng liquidity sa mga decentralized finance (DeFi) protocol, na nagresulta sa pinakamalalang crunch sa DeFi mula noong 2024. Gayunman, nagsagawa ang Arbitrum Security Council ng emerhensiyang aksyon upang i-freeze ang 30,766 ETH na konektado sa KelpDAO exploiter.
Access Control ang Ugat na Isyu
Muling itinampok ng mga natuklasan ng Slowmist ang paulit-ulit na padron sa mga smart contract exploit kung saan nawawala o kulang ang access control na inilalapat sa mga function na humahawak ng sensitibong operasyon. Sa kaso ng Zetachain, ang call function sa GatewayZEVM ay puwedeng gamitin ng anumang external address nang walang permission check, kaya nabuksan ang pinto para maproseso ang mga arbitraryong input na parang lehitimong cross-chain na instruksyon.
Pinalala pa ng kawalan ng input-validation breakstop ang panganib dahil, kung walang mga pagsusuri sa kung anong data ang natatanggap ng function, maaaring bumuo ang mga attacker ng masasamang payload at idirekta ito sa mga hindi inaasahang destinasyon sa iba’t ibang chain (na nilalampasan ang anumang inaakalang trust boundary sa loob ng contract logic).
Palagian nang binibigyang-babala ng mga mananaliksik sa seguridad na ang hindi sapat na access control ay isa sa pinakakaraniwan at pinakamadaling maiwasang kahinaan sa mga production smart contract. Kung dumaan ba sa pormal na third-party security audit ang kontratang GatewayZEVM ng Zetachain bago ito i-deploy ay hindi pa nakukumpirma.
