मुख्य निष्कर्ष:
- Zetachain ने मंगलवार को क्रॉस-चेन ट्रांज़ैक्शन रोक दिए, जब GatewayZEVM कॉन्ट्रैक्ट के call फ़ंक्शन को निशाना बनाने वाले एक एक्सप्लॉइट ने आंतरिक टीम वॉलेट को प्रभावित किया।
- Slowmist ने मूल कारण की पहचान call फ़ंक्शन में एक्सेस कंट्रोल और इनपुट वैलिडेशन की कमी के रूप में की, जिसने किसी भी यूज़र को बिना अनुमति के दुर्भावनापूर्ण क्रॉस-चेन कॉल ट्रिगर करने की अनुमति दी।
- यह घटना अप्रैल 2026 में दूसरा बड़ा क्रॉस-चेन एक्सप्लॉइट है, जो KelpDAO हैक के बाद हुई, जिसने 2024 के बाद से DeFi में सबसे बुरी लिक्विडिटी क्रंच को जन्म दिया।
Slowmist का प्रारंभिक विश्लेषण
टीम ने GatewayZEVM कॉन्ट्रैक्ट के call फ़ंक्शन को एंट्री पॉइंट के रूप में चिह्नित किया। इस फ़ंक्शन में न तो एक्सेस कंट्रोल था और न ही इनपुट वैलिडेशन, जिससे कोई भी बाहरी एड्रेस बिना अनुमति के दुर्भावनापूर्ण क्रॉस-चेन कॉल ट्रिगर कर मनमाने लक्ष्यों तक पहुंचा सकता था। Wu Blockchain ने इसके कुछ समय बाद स्वतंत्र रूप से मूल कारण की पुष्टि की।
Image source: XZetachain ने कहा कि एक्सप्लॉइट ने उसके अपने आंतरिक टीम वॉलेट (अनुमानित $300k मूल्य) को प्रभावित किया, और बताया कि यूज़र फंड सीधे प्रभावित नहीं हुए। प्रोटोकॉल ने क्रॉस-चेन ट्रांज़ैक्शन रोक दिए जबकि उसकी सिक्योरिटी टीम उल्लंघन की पूरी सीमा का आकलन कर रही थी। जांच पूरी होने के बाद एक पोस्ट-मॉर्टम रिपोर्ट जारी की जाने की उम्मीद है।
इसके अलावा, यह घटना क्रॉस-चेन इंफ्रास्ट्रक्चर के लिए एक कठिन समय में आई है, क्योंकि इसी महीने पहले KelpDAO एक्सप्लॉइट ने विकेंद्रीकृत वित्त (DeFi) प्रोटोकॉल में लिक्विडिटी निकासी की एक श्रृंखला शुरू कर दी, जिसके परिणामस्वरूप 2024 के बाद से DeFi में सबसे बुरी क्रंच आई। हालांकि, Arbitrum Security Council ने KelpDAO एक्सप्लॉइटर से जुड़े 30,766 ETH फ्रीज़ करने के लिए आपातकालीन कार्रवाई की।
एक्सेस कंट्रोल ही मूल समस्या थी
Slowmist के निष्कर्षों ने एक बार फिर स्मार्ट कॉन्ट्रैक्ट एक्सप्लॉइट में एक बार-बार दिखने वाले पैटर्न को उजागर किया है, जहां संवेदनशील ऑपरेशन संभालने वाले फ़ंक्शन पर एक्सेस कंट्रोल गायब या अपर्याप्त होता है। Zetachain के मामले में, GatewayZEVM में call फ़ंक्शन को बिना किसी अनुमति जांच के किसी भी बाहरी एड्रेस द्वारा डिप्लॉय किया जा सकता था, जिससे मनमाने इनपुट को वैध क्रॉस-चेन निर्देशों के रूप में प्रोसेस करने का रास्ता खुला रहा।
इनपुट-वैलिडेशन ब्रेकस्टॉप की अनुपस्थिति ने जोखिम को और बढ़ा दिया क्योंकि, फ़ंक्शन को मिलने वाले डेटा पर जांच के बिना, हमलावर एक दुर्भावनापूर्ण पेलोड तैयार कर सकते हैं और उसे चेन के पार अनपेक्षित गंतव्यों तक निर्देशित कर सकते हैं (कॉन्ट्रैक्ट लॉजिक के भीतर मान ली गई विश्वास सीमाओं को दरकिनार करते हुए)।
सिक्योरिटी शोधकर्ताओं ने लगातार प्रोडक्शन स्मार्ट कॉन्ट्रैक्ट में अपर्याप्त एक्सेस कंट्रोल को सबसे आम और रोकने योग्य कमजोरियों में से एक के रूप में चिह्नित किया है। Zetachain के GatewayZEVM कॉन्ट्रैक्ट ने डिप्लॉयमेंट से पहले कोई औपचारिक थर्ड-पार्टी सिक्योरिटी ऑडिट कराया था या नहीं, इसकी पुष्टि नहीं हुई है।
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
