Zetachain 因 GatewayZEVM 合约漏洞针对协议钱包发起攻击而暂停主网运行

• 周二，由于针对 GatewayZEVM 合约 call 函数的攻击波及了内部团队钱包，Zetachain 暂停了跨链交易。
• Slowmist 指出，根本原因在于该调用函数缺少访问控制和输入验证机制，导致任何用户均可未经授权触发恶意跨链调用。
• 此次事件是2026年4月发生的第二起重大跨链攻击，此前KelpDAO遭黑客攻击曾引发自2024年以来最严重的DeFi流动性危机。

Slowmist的初步分析

团队锁定了GatewayZEVM合约的call函数作为攻击入口。该函数既未设置访问控制，也未进行输入验证，这种组合使得任何外部地址都能在未经授权的情况下触发恶意跨链调用，并将其路由至任意目标。Wu Blockchain随后独立确认了这一根本原因。

Zetachain表示，此次漏洞利用影响了其内部团队钱包（估计价值30万美元），并补充称用户资金未直接受影响。该协议已暂停跨链交易，其安全团队正在评估此次漏洞的全部影响范围。调查结束后预计将发布事后分析报告。

此外，此次事件发生在跨链基础设施面临严峻挑战的时刻——本月早些时候，KelpDAO漏洞引发了去中心化金融（DeFi）协议中的连锁流动性撤离，导致DeFi领域遭遇2024年以来最严重的流动性危机。不过，Arbitrum安全委员会已采取紧急措施，冻结了与KelpDAO攻击者相关的30,766枚ETH。

访问控制是根本问题

Slowmist的调查结果再次凸显了智能合约漏洞中反复出现的模式：在处理敏感操作的函数上，访问控制缺失或不足。以Zetachain为例，GatewayZEVM中的调用函数可被任何外部地址部署，且无需权限检查，这使得任意输入都能被当作合法的跨链指令进行处理。

输入验证机制的缺失进一步加剧了风险，因为在缺乏对函数接收数据检查的情况下，攻击者可以构造恶意有效载荷，并将其定向到跨链的预期目标之外（从而绕过合约逻辑中假定的任何信任边界）。

安全研究人员一直指出，访问控制不足是生产环境智能合约中最常见且可预防的漏洞之一。目前尚无法确认 Zetachain 的 GatewayZEVM 合约在部署前是否经过了正式的第三方安全审计。