Concluzii cheie:
- Zetachain a suspendat tranzacțiile cross-chain marți, după ce un exploit care viza funcția call a contractului GatewayZEVM a afectat portofelele interne ale echipei.
- Slowmist a identificat cauza principală ca fiind lipsa controlului accesului și a validării intrărilor în funcția call, permițând oricărui utilizator să declanșeze apeluri cross-chain malițioase fără autorizare.
- Incidentul marchează al doilea exploit major cross-chain din aprilie 2026, după hackul KelpDAO care a declanșat cea mai gravă criză de lichiditate DeFi din 2024.
Analiza preliminară a Slowmist
Echipa a identificat funcția call a contractului GatewayZEVM ca punct de intrare. Funcția nu conținea niciun control al accesului și nicio validare a intrărilor, o combinație care a permis oricărei adrese externe, fără autorizare, să declanșeze apeluri cross-chain malițioase și să le direcționeze către ținte arbitrare. Wu Blockchain a confirmat independent cauza principală la scurt timp după.
Image source: XZetachain a declarat că exploit-ul a afectat propriile portofele interne ale echipei (estimate la o valoare de 300.000 USD), adăugând că fondurile utilizatorilor nu au fost afectate direct. Protocolul a suspendat tranzacțiile cross-chain în timp ce echipa de securitate a evaluat amploarea completă a breșei. Un post-mortem este așteptat odată ce investigația se va încheia.
Mai mult, incidentul survine într-un moment dificil pentru infrastructura cross-chain, deoarece la începutul acestei luni, exploit-ul KelpDAO a declanșat un val de retrageri de lichiditate din protocoalele de finanțe descentralizate (DeFi), rezultând în cea mai gravă criză DeFi din 2024. Consiliul de Securitate Arbitrum a luat, însă, măsuri de urgență pentru a îngheța 30.766 ETH legați de exploatatorul KelpDAO.
Controlul accesului a fost problema fundamentală
Constatările Slowmist au evidențiat din nou un tipar recurent în exploit-urile contractelor inteligente, în care controalele de acces lipsesc sau sunt insuficiente pentru funcțiile care gestionează operațiuni sensibile. În cazul Zetachain, funcția call din GatewayZEVM putea fi apelată de orice adresă externă fără nicio verificare a permisiunilor, lăsând ușa deschisă pentru ca intrările arbitrare să fie procesate ca instrucțiuni legitime cross-chain.
Absența unui mecanism de oprire pentru validarea intrărilor a amplificat riscul, deoarece, fără verificări asupra datelor primite de funcție, atacatorii pot crea un payload malițios și îl pot direcționa către destinații neintenționate pe mai multe lanțuri (ocolind orice limite de încredere presupuse în logica contractului).
Cercetătorii în securitate au semnalat în mod constant controalele insuficiente ale accesului ca una dintre cele mai frecvente și mai ușor de prevenit vulnerabilități din contractele inteligente aflate în producție. Nu s-a confirmat dacă contractul GatewayZEVM al Zetachain a trecut printr-un audit formal de securitate efectuat de terți înainte de implementare.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
