GatewayZEVM কন্ট্র্যাক্ট এক্সপ্লয়েট প্রোটোকল ওয়ালেট টার্গেট করার পর Zetachain মেইননেট বিরতি দিয়েছে

মূল বিষয়সমূহ:

মঙ্গলবার GatewayZEVM কন্ট্র্যাক্টের কল ফাংশনকে লক্ষ্য করে একটি এক্সপ্লয়েট অভ্যন্তরীণ টিম ওয়ালেটে আঘাত করার পর Zetachain ক্রস-চেইন লেনদেন স্থগিত করে দেয়।
Slowmist মূল কারণ হিসেবে কল ফাংশনে অ্যাক্সেস কন্ট্রোল ও ইনপুট ভ্যালিডেশনের অনুপস্থিতি চিহ্নিত করেছে, যা যেকোনো ব্যবহারকারীকে অনুমোদন ছাড়াই ক্ষতিকর ক্রস-চেইন কল ট্রিগার করার সুযোগ দিয়েছে।
এই ঘটনাটি এপ্রিল ২০২৬-এ দ্বিতীয় বড় ক্রস-চেইন এক্সপ্লয়েট হিসেবে চিহ্নিত হয়েছে, যা KelpDAO হ্যাকের পর ঘটেছে যা ২০২৪ সালের পর থেকে DeFi-তে সবচেয়ে খারাপ তারল্য সংকট ঘটিয়েছিল।

Slowmist-এর প্রাথমিক বিশ্লেষণ

দলটি চিহ্নিত করেছে যে GatewayZEVM কন্ট্র্যাক্টের কল ফাংশনটি প্রবেশবিন্দু ছিল। ফাংশনটিতে কোনো অ্যাক্সেস কন্ট্রোল এবং কোনো ইনপুট ভ্যালিডেশন ছিল না, যা যেকোনো বাহ্যিক অ্যাড্রেসকে অনুমোদন ছাড়াই ক্ষতিকর ক্রস-চেইন কল ট্রিগার করতে এবং যেকোনো লক্ষ্যের দিকে রুট করতে সক্ষম করেছে। Wu Blockchain এর পরপরই স্বাধীনভাবে মূল কারণ নিশ্চিত করেছে।

Image source: X

Zetachain জানিয়েছে যে এক্সপ্লয়েটটি তাদের নিজস্ব অভ্যন্তরীণ টিম ওয়ালেটগুলিকে (আনুমানিক $৩০০ হাজার মূল্যের) প্রভাবিত করেছে এবং ব্যবহারকারীদের তহবিল সরাসরি প্রভাবিত হয়নি। প্রোটোকলটি ক্রস-চেইন লেনদেন স্থগিত করেছে যখন তার নিরাপত্তা দল লঙ্ঘনের সম্পূর্ণ পরিধি মূল্যায়ন করছে। তদন্ত শেষ হলে একটি পোস্ট-মর্টেম প্রত্যাশিত।

তদুপরি, এই ঘটনাটি ক্রস-চেইন অবকাঠামোর জন্য একটি কঠিন সময়ে এসেছে কারণ এই মাসের শুরুতে, KelpDAO এক্সপ্লয়েট বিকেন্দ্রীভূত অর্থায়ন (DeFi) প্রোটোকল জুড়ে তারল্য প্রত্যাহারের একটি ধারাবাহিক ঘটনা ঘটায়, যার ফলে ২০২৪ সালের পর থেকে DeFi-তে সবচেয়ে খারাপ সংকট দেখা দেয়। তবে Arbitrum Security Council KelpDAO এক্সপ্লয়েটারের সাথে সংযুক্ত ৩০,৭৬৬ ETH জমা করতে জরুরি পদক্ষেপ নিয়েছে।

অ্যাক্সেস কন্ট্রোলই ছিল মূল সমস্যা

Slowmist-এর অনুসন্ধান আবারও স্মার্ট কন্ট্র্যাক্ট এক্সপ্লয়েটে একটি পুনরাবৃত্তিমূলক প্যাটার্ন তুলে ধরেছে যেখানে সংবেদনশীল অপারেশন পরিচালনাকারী ফাংশনগুলিতে অনুপস্থিত বা অপর্যাপ্ত অ্যাক্সেস কন্ট্রোল প্রয়োগ করা হয়। Zetachain-এর ক্ষেত্রে, GatewayZEVM-এর কল ফাংশনটি কোনো অনুমতি যাচাই ছাড়াই যেকোনো বাহ্যিক অ্যাড্রেস দ্বারা ব্যবহারযোগ্য ছিল, যা নির্বিচার ইনপুটকে বৈধ ক্রস-চেইন নির্দেশনা হিসেবে প্রক্রিয়া করার সুযোগ রেখে দিয়েছিল।

ইনপুট-ভ্যালিডেশন চেকের অনুপস্থিতি ঝুঁকি বাড়িয়ে দিয়েছে কারণ, ফাংশনটি কী ডেটা গ্রহণ করছে তা না যাচাই করলে, আক্রমণকারীরা একটি ক্ষতিকর পেলোড তৈরি করে চেইন জুড়ে অনিচ্ছাকৃত গন্তব্যে পাঠাতে পারে (কন্ট্র্যাক্ট লজিকের মধ্যে যেকোনো অনুমানকৃত বিশ্বাসের সীমানা এড়িয়ে)।

নিরাপত্তা গবেষকরা ধারাবাহিকভাবে অপর্যাপ্ত অ্যাক্সেস কন্ট্রোলকে প্রোডাকশন স্মার্ট কন্ট্র্যাক্টে সবচেয়ে সাধারণ এবং প্রতিরোধযোগ্য দুর্বলতাগুলির একটি হিসেবে চিহ্নিত করেছেন। Zetachain-এর GatewayZEVM কন্ট্র্যাক্ট ডিপ্লয়মেন্টের আগে আনুষ্ঠানিক তৃতীয় পক্ষের নিরাপত্তা অডিটের মধ্য দিয়ে গিয়েছিল কিনা তা নিশ্চিত করা হয়নি।

Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/