Puntos Clave:
- Zetachain pausó las transacciones Cross-chain el martes tras un exploit dirigido a la función call del contrato GatewayZEVM que afectó a las billeteras internas del equipo.
- Slowmist identificó la causa raíz como la ausencia de control de acceso y validación de entrada en la función call, lo que permitía a cualquier usuario activar llamadas Cross-chain maliciosas sin autorización.
- El incidente marca el segundo gran exploit Cross-chain en abril de 2026, tras el hackeo de KelpDAO que desencadenó la peor crisis de liquidez en DeFi desde 2024.
Análisis Preliminar de Slowmist
El equipo identificó la función call del contrato GatewayZEVM como el punto de entrada. La función no contenía control de acceso ni validación de entrada, una combinación que permitía a cualquier dirección externa, sin autorización, activar llamadas Cross-chain maliciosas y dirigirlas hacia objetivos arbitrarios. Wu Blockchain confirmó de forma independiente la causa raíz poco después.
Image source: XZetachain indicó que el exploit afectó sus propias billeteras internas del equipo (con un valor estimado de $300k), añadiendo que los fondos de los usuarios no se vieron directamente impactados. El protocolo pausó las transacciones Cross-chain mientras su equipo de seguridad evaluaba el alcance total de la brecha. Se espera un análisis post-mortem una vez que concluya la investigación.
Además, el incidente llega en un momento difícil para la infraestructura Cross-chain, ya que a principios de este mes, el exploit de KelpDAO desencadenó una cascada de retiros de liquidez en los protocolos de finanzas descentralizadas (DeFi), resultando en la peor crisis en DeFi desde 2024. El Consejo de Seguridad de Arbitrum, sin embargo, tomó medidas de emergencia para congelar 30.766 ETH vinculados al explotador de KelpDAO.
El Control de Acceso Fue el Problema Raíz
Los hallazgos de Slowmist han destacado una vez más un patrón recurrente en los exploits de Smart Contract donde se aplican controles de acceso ausentes o insuficientes en funciones que manejan operaciones sensibles. En el caso de Zetachain, la función call en GatewayZEVM podía ser invocada por cualquier dirección externa sin verificación de permisos, dejando la puerta abierta para que entradas arbitrarias fueran procesadas como instrucciones Cross-chain legítimas.
La ausencia de un mecanismo de detención por validación de entrada agravó el riesgo, ya que sin comprobaciones sobre los datos que recibe la función, los atacantes pueden elaborar un payload malicioso y dirigirlo hacia destinos no previstos entre cadenas (eludiendo cualquier límite de confianza asumido dentro de la lógica del contrato).
Los investigadores de seguridad han señalado de forma consistente los controles de acceso insuficientes como una de las vulnerabilidades más comunes y prevenibles en los Smart Contract en producción. No se ha confirmado si el contrato GatewayZEVM de Zetachain había sido sometido a una Auditoría de contratos inteligentes formal por terceros antes de su despliegue.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
