Zetachain Wstrzymuje Mainnet Po Exploicie Kontraktu GatewayZEVM Wymierzonym w Portfele Protokołu

Kluczowe wnioski:

• Zetachain wstrzymał transakcje cross-chain we wtorek po tym, jak exploit wymierzony w funkcję call kontraktu GatewayZEVM uderzył w wewnętrzne portfele zespołu.
• Slowmist zidentyfikował główną przyczynę jako brak kontroli dostępu i walidacji danych wejściowych w funkcji call, co pozwalało dowolnemu użytkownikowi na wyzwalanie złośliwych wywołań cross-chain bez autoryzacji.
• Incydent ten jest drugim poważnym exploitem cross-chain w kwietniu 2026 roku, następującym po ataku na KelpDAO, który wywołał najpoważniejszy kryzys płynności w DeFi od 2024 roku.

Wstępna analiza Slowmist

Zespół zidentyfikował funkcję call kontraktu GatewayZEVM jako punkt wejścia. Funkcja ta nie zawierała żadnej kontroli dostępu ani walidacji danych wejściowych, co w połączeniu pozwalało dowolnemu zewnętrznemu adresowi, bez autoryzacji, wyzwalać złośliwe wywołania cross-chain i kierować je do dowolnych celów. Wu Blockchain niezależnie potwierdził główną przyczynę wkrótce po tym.

Zetachain poinformował, że exploit dotknął własnych wewnętrznych portfeli zespołu (szacowanych na wartość 300 tys. USD), dodając, że środki użytkowników nie zostały bezpośrednio dotknięte. Protokół wstrzymał transakcje cross-chain, podczas gdy jego zespół ds. bezpieczeństwa oceniał pełny zakres naruszenia. Po zakończeniu dochodzenia oczekiwany jest raport poeksploitacyjny.

Co więcej, incydent ten następuje w trudnym momencie dla infrastruktury cross-chain, ponieważ wcześniej w tym miesiącu exploit KelpDAO wywołał lawinę wypłat płynności w protokołach zdecentralizowanych finansów (DeFi), powodując najpoważniejszy kryzys w DeFi od 2024 roku. Rada Bezpieczeństwa Arbitrum podjęła jednak działania awaryjne w celu zamrożenia 30 766 ETH powiązanych z exploiterem KelpDAO.

Kontrola dostępu była głównym problemem

Ustalenia Slowmist po raz kolejny uwypukliły powtarzający się wzorzec w exploitach inteligentnych kontraktów, gdzie brakujące lub niewystarczające kontrole dostępu są stosowane w funkcjach obsługujących wrażliwe operacje. W przypadku Zetachain, funkcja call w GatewayZEVM mogła być wywoływana przez dowolny zewnętrzny adres bez sprawdzania uprawnień, pozostawiając drzwi otwarte na przetwarzanie dowolnych danych wejściowych jako legalnych instrukcji cross-chain.

Brak mechanizmu zatrzymującego walidację danych wejściowych zwiększył ryzyko, ponieważ bez sprawdzania danych odbieranych przez funkcję atakujący mogą tworzyć złośliwy ładunek i kierować go do niezamierzonych miejsc docelowych w różnych łańcuchach (omijając zakładane granice zaufania w logice kontraktu).

Badacze bezpieczeństwa konsekwentnie wskazują na niewystarczające kontrole dostępu jako jedną z najczęstszych i możliwych do zapobieżenia luk w produkcyjnych inteligentnych kontraktach. Nie potwierdzono, czy kontrakt GatewayZEVM firmy Zetachain przeszedł formalny audyt bezpieczeństwa przeprowadzony przez stronę trzecią przed wdrożeniem.