GatewayZEVM sözleşmesindeki güvenlik açığı protokol cüzdanlarını hedef aldı; Zetachain ana ağı askıya aldı

Önemli Noktalar:

• Zetachain, GatewayZEVM sözleşmesinin çağrı işlevini hedef alan bir istismar saldırısının iç ekip cüzdanlarını vurmasının ardından Salı günü zincirler arası işlemleri askıya aldı.
• Slowmist, sorunun temel nedenini çağrı işlevinde eksik erişim kontrolü ve girdi doğrulaması olarak belirledi; bu durum, herhangi bir kullanıcının yetkisiz olarak kötü niyetli zincirler arası çağrıları tetiklemesine olanak tanıyordu.
• Bu olay, 2024'ten bu yana en kötü DeFi likidite krizini tetikleyen KelpDAO saldırısının ardından, Nisan 2026'daki ikinci büyük zincirler arası istismar vakası oldu.

Slowmist'in Ön Analizi

Ekip, GatewayZEVM sözleşmesinin çağrı işlevini giriş noktası olarak belirledi. İşlevde erişim kontrolü ve giriş doğrulaması bulunmuyordu; bu durum, herhangi bir harici adresin yetkisiz olarak kötü niyetli zincirler arası çağrıları tetiklemesine ve bunları rastgele hedeflere yönlendirmesine olanak tanıdı. Wu Blockchain, kısa süre sonra temel nedeni bağımsız olarak doğruladı.

Zetachain, bu istismarın kendi iç ekip cüzdanlarını etkilediğini (değeri 300 bin dolar olarak tahmin ediliyor) ve kullanıcı fonlarının doğrudan etkilenmediğini belirtti. Protokol, güvenlik ekibi ihlalin tam kapsamını değerlendirirken zincirler arası işlemleri durdurdu. Soruşturma sonuçlandığında bir olay sonrası değerlendirme raporu yayınlanması bekleniyor.

Dahası, bu olay zincirler arası altyapı için zor bir dönemde meydana geldi; zira bu ayın başlarında KelpDAO istismarı, merkeziyetsiz finans (DeFi) protokollerinde bir dizi likidite çekilmesine yol açarak 2024'ten bu yana DeFi'de yaşanan en kötü krize neden olmuştu. Ancak Arbitrum Güvenlik Konseyi, KelpDAO istismarcısıyla bağlantılı 30.766 ETH'yi dondurmak için acil önlem aldı.

Erişim Kontrolü Temel Sorundu

Slowmist'in bulguları, hassas işlemleri gerçekleştiren işlevlerde eksik veya yetersiz erişim kontrolleri uygulandığı akıllı sözleşme istismarlarında tekrarlanan bir modeli bir kez daha vurguladı. Zetachain'in durumunda, GatewayZEVM'deki çağrı işlevi, izin kontrolü yapılmaksızın herhangi bir harici adres tarafından devreye alınabiliyordu ve bu da keyfi girdilerin meşru zincirler arası talimatlar olarak işlenmesine kapı açıyordu.

Giriş doğrulama engelinin olmaması riski daha da artırdı çünkü fonksiyonun hangi verileri aldığına dair bir kontrol olmadan, saldırganlar kötü amaçlı bir yük oluşturabilir ve bunu zincirler arasında istenmeyen hedeflere yönlendirebilir (sözleşme mantığı içindeki varsayılan güven sınırlarını atlayarak).

Güvenlik araştırmacıları, yetersiz erişim kontrollerini, üretim aşamasındaki akıllı sözleşmelerdeki en yaygın ve önlenebilir güvenlik açıklarından biri olarak sürekli olarak işaretlemiştir. Zetachain'in GatewayZEVM sözleşmesinin dağıtımdan önce resmi bir üçüncü taraf güvenlik denetiminden geçip geçmediği henüz teyit edilmemiştir.