Những điểm chính:
- Zetachain đã tạm dừng các giao dịch Cross-chain vào thứ Ba sau khi một cuộc khai thác nhắm vào hàm call của hợp đồng GatewayZEVM tấn công vào ví nội bộ của nhóm.
- Slowmist xác định nguyên nhân gốc rễ là do thiếu kiểm soát truy cập và xác thực đầu vào trong hàm call, cho phép bất kỳ người dùng nào kích hoạt các lệnh gọi Cross-chain độc hại mà không cần ủy quyền.
- Sự cố này đánh dấu vụ khai thác Cross-chain lớn thứ hai trong tháng 4 năm 2026, tiếp sau vụ hack KelpDAO đã kích hoạt đợt khủng hoảng thanh khoản DeFi tệ nhất kể từ năm 2024.
Phân tích sơ bộ của Slowmist
Nhóm đã xác định hàm call của hợp đồng GatewayZEVM là Điểm vào. Hàm này không có kiểm soát truy cập và không có xác thực đầu vào, sự kết hợp này cho phép bất kỳ địa chỉ bên ngoài nào, mà không cần ủy quyền, kích hoạt các lệnh gọi Cross-chain độc hại và định tuyến chúng đến các mục tiêu tùy ý. Wu Blockchain đã xác nhận độc lập nguyên nhân gốc rễ ngay sau đó.
Nguồn ảnh: XZetachain cho biết vụ khai thác đã ảnh hưởng đến ví nội bộ của nhóm (ước tính trị giá 300.000 USD), và khẳng định thêm rằng quỹ của người dùng không bị ảnh hưởng trực tiếp. Giao thức đã tạm dừng các giao dịch Cross-chain trong khi nhóm bảo mật đánh giá toàn bộ phạm vi của vụ vi phạm. Báo cáo hậu sự kiện dự kiến sẽ được công bố sau khi cuộc điều tra kết thúc.
Hơn nữa, sự cố này xảy ra vào một thời điểm khó khăn đối với cơ sở hạ tầng Cross-chain khi đầu tháng này, vụ khai thác KelpDAO đã kích hoạt một loạt các đợt rút thanh khoản trên khắp các giao thức tài chính phi tập trung (DeFi), dẫn đến đợt khủng hoảng tệ nhất trong DeFi kể từ năm 2024. Tuy nhiên, Hội đồng Bảo mật Arbitrum đã thực hiện hành động khẩn cấp để đóng băng 30.766 ETH liên quan đến kẻ khai thác KelpDAO.
Kiểm soát truy cập là vấn đề cốt lõi
Những phát hiện của Slowmist một lần nữa làm nổi bật một mô hình tái diễn trong các vụ khai thác hợp đồng thông minh, nơi các biện pháp kiểm soát truy cập bị thiếu hoặc không đủ được áp dụng trên các hàm xử lý các hoạt động nhạy cảm. Trong trường hợp của Zetachain, hàm call trong GatewayZEVM có thể được triển khai bởi bất kỳ địa chỉ bên ngoài nào mà không có kiểm tra quyền, để ngỏ cửa cho các đầu vào tùy ý được xử lý như các lệnh Cross-chain hợp lệ.
Sự vắng mặt của cơ chế dừng xác thực đầu vào đã làm tăng thêm rủi ro vì, nếu không có các kiểm tra trên dữ liệu mà hàm nhận, kẻ tấn công có thể tạo ra một payload độc hại và định hướng nó đến các đích không mong muốn trên các chuỗi (vượt qua mọi ranh giới tin cậy được giả định trong logic hợp đồng).
Các nhà nghiên cứu bảo mật đã liên tục gắn cờ kiểm soát truy cập không đầy đủ là một trong những lỗ hổng phổ biến và có thể phòng ngừa nhất trong các hợp đồng thông minh đang hoạt động. Liệu hợp đồng GatewayZEVM của Zetachain có trải qua kiểm toán bảo mật chính thức từ bên thứ ba trước khi triển khai hay không vẫn chưa được xác nhận.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
