ประเด็นสำคัญ:
- Zetachain ระงับธุรกรรมข้ามเชนในวันอังคาร หลังจากการโจมตีที่มุ่งเป้าไปยังฟังก์ชัน call ของสัญญา GatewayZEVM ส่งผลกระทบต่อกระเป๋าเงินภายในของทีม
- Slowmist ระบุสาเหตุหลักว่าเกิดจากการขาดการควบคุมการเข้าถึงและการตรวจสอบอินพุตในฟังก์ชัน call ทำให้ผู้ใช้ทุกคนสามารถเรียกใช้การโทรข้ามเชนที่เป็นอันตรายได้โดยไม่ต้องได้รับอนุญาต
- เหตุการณ์นี้ถือเป็นการโจมตีข้ามเชนครั้งใหญ่ครั้งที่สองในเดือนเมษายน 2026 ต่อจากการแฮ็ก KelpDAO ที่ก่อให้เกิดวิกฤตสภาพคล่อง DeFi ที่เลวร้ายที่สุดนับตั้งแต่ปี 2024
การวิเคราะห์เบื้องต้นของ Slowmist
ทีมงานระบุจุดเข้าว่าคือฟังก์ชัน call ของสัญญา GatewayZEVM ฟังก์ชันดังกล่าวไม่มีการควบคุมการเข้าถึงและไม่มีการตรวจสอบอินพุต ซึ่งทำให้ที่อยู่ภายนอกใดก็ตามสามารถเรียกใช้การโทรข้ามเชนที่เป็นอันตรายและส่งไปยังเป้าหมายใดก็ได้โดยไม่ต้องได้รับอนุญาต Wu Blockchain ยืนยันสาเหตุหลักโดยอิสระไม่นานหลังจากนั้น
Image source: XZetachain ระบุว่าการโจมตีดังกล่าวส่งผลกระทบต่อกระเป๋าเงินภายในของทีม (ประมาณการมูลค่า 300,000 ดอลลาร์) และเสริมว่าเงินทุนของผู้ใช้ไม่ได้รับผลกระทบโดยตรง โปรโตคอลได้ระงับธุรกรรมข้ามเชนในขณะที่ทีมความปลอดภัยประเมินขอบเขตทั้งหมดของการละเมิด คาดว่าจะมีรายงานสรุปหลังเหตุการณ์เมื่อการสอบสวนเสร็จสิ้น
นอกจากนี้ เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่ยากลำบากสำหรับโครงสร้างพื้นฐานข้ามเชน เนื่องจากต้นเดือนนี้ การโจมตี KelpDAO ได้ก่อให้เกิดการถอนสภาพคล่องแบบต่อเนื่องในโปรโตคอล การเงินแบบกระจายอำนาจ (DeFi) ส่งผลให้เกิดวิกฤตที่เลวร้ายที่สุดใน DeFi นับตั้งแต่ปี 2024 อย่างไรก็ตาม Arbitrum Security Council ได้ ดำเนินการฉุกเฉินเพื่อระงับ 30,766 ETH ที่เชื่อมโยงกับผู้โจมตี KelpDAO
การควบคุมการเข้าถึงคือปัญหาหลัก
ผลการค้นพบของ Slowmist ได้เน้นย้ำรูปแบบที่เกิดขึ้นซ้ำในการโจมตีสัญญาอัจฉริยะอีกครั้ง โดยการควบคุมการเข้าถึงที่ขาดหายหรือไม่เพียงพอถูกนำไปใช้กับฟังก์ชันที่จัดการการดำเนินการที่ละเอียดอ่อน ในกรณีของ Zetachain ฟังก์ชัน call ใน GatewayZEVM สามารถถูกเรียกใช้โดยที่อยู่ภายนอกใดก็ได้โดยไม่มีการตรวจสอบสิทธิ์ เปิดช่องให้อินพุตใดก็ตามถูกประมวลผลเป็นคำสั่งข้ามเชนที่ถูกต้องตามกฎหมาย
การขาดตัวหยุดการตรวจสอบอินพุตทำให้ความเสี่ยงทวีคูณขึ้น เนื่องจากหากไม่มีการตรวจสอบข้อมูลที่ฟังก์ชันรับเข้ามา ผู้โจมตีสามารถสร้างเพย์โหลดที่เป็นอันตรายและส่งไปยังปลายทางที่ไม่ได้ตั้งใจข้ามเชนต่างๆ (โดยเลี่ยงขอบเขตความน่าเชื่อถือที่สันนิษฐานไว้ภายในตรรกะของสัญญา)
นักวิจัยด้านความปลอดภัยได้ตั้งข้อสังเกตอย่างต่อเนื่องว่าการควบคุมการเข้าถึงที่ไม่เพียงพอเป็นหนึ่งในช่องโหว่ที่พบบ่อยที่สุดและป้องกันได้มากที่สุดในสัญญาอัจฉริยะที่ใช้งานจริง ยังไม่มีการยืนยันว่าสัญญา GatewayZEVM ของ Zetachain ได้ผ่านการตรวจสอบความปลอดภัยอย่างเป็นทางการจากบุคคลที่สามก่อนการนำไปใช้งานหรือไม่
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
