Belangrijkste punten:
- Zetachain heeft dinsdag cross-chain transacties gepauzeerd nadat een exploit gericht op de call-functie van het GatewayZEVM-contract interne teamwallets trof.
- Slowmist identificeerde de hoofdoorzaak als een ontbrekende toegangscontrole en invoervalidatie in de call-functie, waardoor elke gebruiker zonder autorisatie kwaadaardige cross-chain aanroepen kon activeren.
- Het incident is de tweede grote cross-chain exploit in april 2026, na de KelpDAO-hack die de ergste DeFi-liquiditeitscrisis sinds 2024 veroorzaakte.
Voorlopige analyse van Slowmist
Het team wees de call-functie van het GatewayZEVM-contract aan als het toegangspunt. De functie bevatte geen toegangscontrole en geen invoervalidatie, een combinatie die elk extern adres zonder autorisatie in staat stelde kwaadaardige cross-chain aanroepen te activeren en deze naar willekeurige doelen te routeren. Wu Blockchain bevestigde de hoofdoorzaak kort daarna onafhankelijk.
Image source: XZetachain zei dat de exploit zijn eigen interne teamwallets trof (geschat op $300k) en voegde eraan toe dat gebruikersfondsen niet direct werden getroffen. Het protocol pauzeerde cross-chain transacties terwijl het beveiligingsteam de volledige omvang van de inbreuk beoordeelde. Een postmortem wordt verwacht zodra het onderzoek is afgerond.
Bovendien komt het incident op een moeilijk moment voor cross-chain infrastructuur, want eerder deze maand veroorzaakte de KelpDAO-exploit een cascade van liquiditeitsopnames bij gedecentraliseerde financiering (DeFi)-protocollen, wat resulteerde in de ergste liquiditeitscrisis in DeFi sinds 2024. De Arbitrum Security Council nam echter noodmaatregelen om 30.766 ETH te bevriezen die gelinkt waren aan de KelpDAO-exploitant.
Toegangscontrole was het kernprobleem
De bevindingen van Slowmist hebben opnieuw een terugkerend patroon in smart contract-exploits belicht waarbij ontbrekende of onvoldoende toegangscontroles worden toegepast op functies die gevoelige bewerkingen uitvoeren. In het geval van Zetachain was de call-functie in GatewayZEVM aanroepbaar door elk extern adres zonder toestemmingscontrole, waardoor willekeurige invoer als legitieme cross-chain instructies kon worden verwerkt.
Het ontbreken van een invoervalidatiestop vergroot het risico, omdat aanvallers zonder controles op de ontvangen data een kwaadaardige payload kunnen opstellen en deze naar onbedoelde bestemmingen over ketens kunnen sturen (waarbij veronderstelde vertrouwensgrenzen binnen de contractlogica worden omzeild).
Beveiligingsonderzoekers hebben onvoldoende toegangscontroles consequent aangemerkt als een van de meest voorkomende en vermijdbare kwetsbaarheden in productie-smart contracts. Of het GatewayZEVM-contract van Zetachain vóór implementatie een formele beveiligingsaudit door een derde partij heeft ondergaan, is niet bevestigd.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
