Zetachain tạm dừng mạng chính sau khi hợp đồng GatewayZEVM bị khai thác nhằm vào các ví của giao thức

Điểm chính:

• Zetachain đã tạm dừng các giao dịch xuyên chuỗi vào thứ Ba sau khi một cuộc tấn công nhắm vào hàm gọi của hợp đồng GatewayZEVM đã ảnh hưởng đến các ví nội bộ của đội ngũ.
• Slowmist xác định nguyên nhân gốc rễ là do thiếu kiểm soát truy cập và xác thực đầu vào trong hàm call, cho phép bất kỳ người dùng nào kích hoạt các cuộc gọi xuyên chuỗi độc hại mà không cần ủy quyền.
• Sự cố này là vụ khai thác chuỗi chéo lớn thứ hai trong tháng 4 năm 2026, sau vụ tấn công KelpDAO đã gây ra cuộc khủng hoảng thanh khoản DeFi tồi tệ nhất kể từ năm 2024.

Phân tích sơ bộ của Slowmist

Nhóm nghiên cứu đã xác định chức năng gọi của hợp đồng GatewayZEVM là điểm xâm nhập. Chức năng này không có kiểm soát truy cập và xác thực đầu vào, sự kết hợp này cho phép bất kỳ địa chỉ bên ngoài nào, mà không cần ủy quyền, kích hoạt các cuộc gọi xuyên chuỗi độc hại và định tuyến chúng đến các mục tiêu tùy ý. Wu Blockchain đã xác nhận độc lập nguyên nhân gốc rễ ngay sau đó.

Zetachain cho biết vụ tấn công đã ảnh hưởng đến các ví nội bộ của chính đội ngũ (ước tính trị giá $300k), đồng thời khẳng định rằng quỹ của người dùng không bị ảnh hưởng trực tiếp. Giao thức đã tạm dừng các giao dịch xuyên chuỗi trong khi đội ngũ bảo mật đánh giá toàn bộ phạm vi của vụ vi phạm. Một báo cáo sau sự cố dự kiến sẽ được công bố sau khi cuộc điều tra kết thúc.

Hơn nữa, sự cố này xảy ra vào thời điểm khó khăn đối với cơ sở hạ tầng chuỗi chéo khi đầu tháng này, lỗ hổng KelpDAO đã gây ra một làn sóng rút tiền thanh khoản trên các giao thức tài chính phi tập trung (DeFi), dẫn đến cuộc khủng hoảng tồi tệ nhất trong DeFi kể từ năm 2024. Tuy nhiên, Hội đồng An ninh Arbitrum đã thực hiện hành động khẩn cấp để đóng băng 30.766 ETH liên quan đến kẻ khai thác KelpDAO.

Kiểm soát truy cập là vấn đề cốt lõi

Kết quả nghiên cứu của Slowmist một lần nữa nhấn mạnh một mô hình lặp lại trong các vụ khai thác hợp đồng thông minh, nơi các chức năng xử lý các hoạt động nhạy cảm thiếu hoặc không đủ kiểm soát truy cập. Trong trường hợp của Zetachain, hàm gọi trong GatewayZEVM có thể được triển khai bởi bất kỳ địa chỉ bên ngoài nào mà không cần kiểm tra quyền hạn, mở cửa cho các đầu vào tùy ý được xử lý như các lệnh xuyên chuỗi hợp lệ.

Việc thiếu cơ chế kiểm tra đầu vào đã làm trầm trọng thêm rủi ro vì, nếu không có kiểm tra về dữ liệu mà hàm nhận được, kẻ tấn công có thể tạo ra một tải trọng độc hại và hướng nó đến các đích không mong muốn trên các chuỗi (bỏ qua bất kỳ ranh giới tin cậy nào được giả định trong logic hợp đồng).

Các nhà nghiên cứu bảo mật đã liên tục chỉ ra rằng việc kiểm soát truy cập không đầy đủ là một trong những lỗ hổng phổ biến nhất và có thể phòng ngừa được trong các hợp đồng thông minh đang hoạt động. Vẫn chưa có xác nhận về việc hợp đồng GatewayZEVM của Zetachain có trải qua kiểm toán bảo mật chính thức của bên thứ ba trước khi triển khai hay không.