Zetachain призупинив роботу основної мережі після того, як зловмисники скористалися вразливістю контракту GatewayZEVM для атаки на гаманці протоколу

Основні висновки:

• Zetachain призупинив міжланцюгові транзакції у вівторок після того, як експлойт, спрямований на функцію виклику контракту GatewayZEVM, вразив внутрішні гаманці команди.
• Slowmist визначила першопричину як відсутність контролю доступу та перевірки вхідних даних у функції виклику, що дозволяло будь-якому користувачеві ініціювати зловмисні міжланцюгові виклики без авторизації.
• Цей інцидент став другим великим міжланцюговим злом у квітні 2026 року після хакерської атаки на KelpDAO, яка спричинила найгірший кризовий стан ліквідності DeFi з 2024 року.

Попередній аналіз Slowmist

Команда визначила функцію виклику контракту GatewayZEVM як точку входу. Функція не містила контролю доступу та перевірки вхідних даних, що дозволяло будь-якій зовнішній адресі без авторизації ініціювати зловмисні міжланцюгові виклики та направляти їх до довільних цілей. Wu Blockchain незабаром самостійно підтвердила першопричину.

Zetachain заявила, що експлойт зачепив власні внутрішні гаманці команди (орієнтовна вартість — 300 тис. доларів), додавши, що кошти користувачів безпосередньо не постраждали. Протокол призупинив міжланцюгові транзакції, поки його команда безпеки оцінювала повний масштаб порушення. Після завершення розслідування очікується опублікування аналізу інциденту.

Більше того, інцидент стався у складний для міжланцюгової інфраструктури момент, оскільки на початку цього місяця експлойт KelpDAO спричинив ланцюгову реакцію виведення ліквідності з протоколів децентралізованих фінансів (DeFi), що призвело до найгіршої кризи в DeFi з 2024 року. Однак Рада безпеки Arbitrum вжила екстрених заходів, щоб заморозити 30 766 ETH, пов’язаних із зловмисником KelpDAO.

Контроль доступу був основною проблемою

Висновки Slowmist ще раз підкреслили повторювану закономірність в експлойтах смарт-контрактів, де відсутні або недостатні засоби контролю доступу застосовуються до функцій, що обробляють чутливі операції. У випадку Zetachain функція виклику в GatewayZEVM могла бути розгорнута будь-якою зовнішньою адресою без перевірки дозволів, залишаючи можливість обробки довільних вхідних даних як легітимних міжланцюгових інструкцій.

Відсутність механізму перевірки вхідних даних посилила ризик, оскільки без перевірки даних, які отримує функція, зловмисники можуть створити шкідливий код і направити його до непередбачених місць призначення в різних ланцюгах (обійшовши будь-які передбачувані межі довіри в логіці контракту).

Дослідники в галузі безпеки постійно вказують на недостатній контроль доступу як одну з найпоширеніших і запобіжних вразливостей у виробничих смарт-контрактах. Чи пройшов контракт GatewayZEVM від Zetachain офіційний аудит безпеки третьою стороною перед розгортанням, не підтверджено.