Wichtige Erkenntnisse:
- Zetachain hat am Dienstag Cross-chain-Transaktionen pausiert, nachdem ein Exploit, der auf die Call-Funktion des GatewayZEVM-Contracts abzielte, interne Team-Wallets traf.
- Slowmist identifizierte die Grundursache als fehlende Zugriffskontrolle und fehlende Eingabevalidierung in der Call-Funktion, was es jedem Benutzer ermöglichte, ohne Autorisierung bösartige Cross-chain-Aufrufe auszulösen.
- Der Vorfall markiert den zweiten großen Cross-chain-Exploit im April 2026, nach dem KelpDAO-Hack, der die schlimmste DeFi-Liquiditätskrise seit 2024 auslöste.
Vorläufige Analyse von Slowmist
Das Team identifizierte die Call-Funktion des GatewayZEVM-Contracts als Einstiegspunkt. Die Funktion enthielt weder eine Zugriffskontrolle noch eine Eingabevalidierung – eine Kombination, die es jeder externen Adresse ohne Autorisierung ermöglichte, bösartige Cross-chain-Aufrufe auszulösen und sie an beliebige Ziele weiterzuleiten. Wu Blockchain bestätigte die Grundursache unabhängig kurz darauf.
Image source: XZetachain erklärte, dass der Exploit die eigenen internen Team-Wallets betraf (geschätzter Wert: 300.000 USD), und fügte hinzu, dass Nutzerfonds nicht direkt beeinträchtigt wurden. Das Protokoll pausierte Cross-chain-Transaktionen, während das Sicherheitsteam den vollen Umfang des Vorfalls bewertete. Ein Abschlussbericht wird nach Abschluss der Untersuchung erwartet.
Darüber hinaus trifft der Vorfall die Cross-chain-Infrastruktur zu einem schwierigen Zeitpunkt, da früher in diesem Monat der KelpDAO-Exploit eine Kaskade von Liquiditätsabzügen über dezentralisierte Finanz- (DeFi)Protokolle auslöste und zur schlimmsten Krise in DeFi seit 2024 führte. Der Arbitrum Security Council ergriff jedoch Notfallmaßnahmen, um 30.766 ETH einzufrieren, die mit dem KelpDAO-Exploiter in Verbindung stehen.
Zugriffskontrolle war das Kernproblem
Die Erkenntnisse von Slowmist haben erneut ein wiederkehrendes Muster bei Smart-Contract-Exploits beleuchtet, bei dem fehlende oder unzureichende Zugriffskontrollen auf Funktionen angewendet werden, die sensible Operationen verwalten. Im Fall von Zetachain war die Call-Funktion in GatewayZEVM von jeder externen Adresse ohne Berechtigungsprüfung aufrufbar, was die Tür für beliebige Eingaben öffnete, die als legitime Cross-chain-Anweisungen verarbeitet wurden.
Das Fehlen einer Eingabevalidierungs-Absicherung verstärkte das Risiko, da Angreifer ohne Überprüfung der empfangenen Daten eine bösartige Nutzlast erstellen und diese an unbeabsichtigte Ziele über Chains hinweg leiten konnten (unter Umgehung aller angenommenen Vertrauensgrenzen innerhalb der Contract-Logik).
Sicherheitsforscher haben unzureichende Zugriffskontrollen konsequent als eine der häufigsten und vermeidbaren Schwachstellen in produktiven Smart-Contracts eingestuft. Ob der GatewayZEVM-Contract von Zetachain vor der Bereitstellung ein formelles Smart Contract Audit durch Drittanbieter durchlaufen hat, wurde nicht bestätigt.
Source: https://news.bitcoin.com/zetachain-gatewayzevm-exploit-mainnet-paused/
