نکات کلیدی:
- زتاچین در روز سهشنبه تراکنشهای فناوری میان زنجیرهای را پس از آنکه یک اکسپلویت با هدف قرار دادن تابع call قرارداد GatewayZEVM به کیف پولهای داخلی تیم آسیب رساند، متوقف کرد.
- Slowmist علت اصلی را فقدان کنترل دسترسی و اعتبارسنجی ورودی در تابع call شناسایی کرد که به هر کاربری اجازه میداد بدون مجوز شخص ثالث، فراخوانیهای مخرب میان زنجیرهای را فعال کند.
- این حادثه دومین اکسپلویت بزرگ فناوری میان زنجیرهای در آوریل 2026 است که پس از هک KelpDAO رخ داد؛ هکی که بدترین بحران نقدینگی امور مالی غیر متمرکز با نام اختصاری دیفای از سال 2024 را به راه انداخت.
تحلیل اولیه Slowmist
تیم تابع call قرارداد GatewayZEVM را به عنوان نقطه ورود شناسایی کرد. این تابع فاقد هرگونه کنترل دسترسی و اعتبارسنجی ورودی بود؛ ترکیبی که به هر آدرس خارجی بدون مجوز اجازه میداد فراخوانیهای مخرب میان زنجیرهای را فعال کرده و آنها را به اهداف دلخواه هدایت کند. Wu Blockchain علت اصلی را به طور مستقل تأیید کرد کمی پس از آن.
منبع تصویر: Xزتاچین اعلام کرد این اکسپلویت تنها کیف پولهای داخلی تیم آن را تحت تأثیر قرار داده است (با ارزش تخمینی ۳۰۰ هزار دلار) و افزود که وجوه کاربران به طور مستقیم تحت تأثیر قرار نگرفته است. این پروتکل تراکنشهای فناوری میان زنجیرهای را در حالی متوقف کرد که تیم امنیتیاش در حال ارزیابی دامنه کامل نقض بود. پس از پایان تحقیقات، یک گزارش پستمورتم منتشر خواهد شد.
علاوه بر این، این حادثه در لحظهای دشوار برای زیرساخت فناوری میان زنجیرهای رخ داد؛ چرا که در اوایل این ماه، اکسپلویت KelpDAO موجی از برداشتهای نقدینگی را در پروتکلهای امور مالی غیر متمرکز با نام اختصاری دیفای به راه انداخت و بدترین بحران نقدینگی دیفای از سال 2024 را رقم زد. با این حال، شورای امنیت Arbitrum اقدام اضطراری برای مسدود کردن ۳۰٬۷۶۶ ETH مرتبط با سوءاستفادهکننده KelpDAO انجام داد.
کنترل دسترسی مشکل اصلی بود
یافتههای Slowmist یک بار دیگر الگوی تکرارشوندهای در اکسپلویتهای قرارداد هوشمند را برجسته کرد که در آن کنترلهای دسترسی ناقص یا ناکافی بر توابعی اعمال میشوند که عملیات حساس را مدیریت میکنند. در مورد زتاچین، تابع call در GatewayZEVM توسط هر آدرس خارجی بدون هیچ بررسی مجوزی قابل فراخوانی بود و درها را برای پردازش ورودیهای دلخواه به عنوان دستورالعملهای مشروع میان زنجیرهای باز گذاشت.
فقدان توقف اعتبارسنجی ورودی ریسک را چند برابر کرد؛ زیرا بدون بررسی دادههایی که تابع دریافت میکند، مهاجمان میتوانند یک payload مخرب طراحی کرده و آن را به مقصدهای ناخواسته در سراسر زنجیرهها هدایت کنند (با دور زدن هر مرز اعتماد فرضی در منطق قرارداد).
محققان امنیتی به طور مداوم کنترلهای دسترسی ناکافی را به عنوان یکی از رایجترین و قابل پیشگیریترین آسیبپذیریها در قراردادهای هوشمند تولیدی علامتگذاری کردهاند. اینکه آیا قرارداد GatewayZEVM زتاچین پیش از استقرار تحت حسابرسی امنیتی رسمی شخص ثالث قرار گرفته است یا خیر، تأیید نشده است.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
