ZetaChain раскрыла подробности эксплойта на $334 000, Syndicate и Aftermath также атакованы
L1-блокчейн ZetaChain опубликовал разбор атаки 27 апреля: хакер воспользовался уязвимостью в системе кроссчейн-сообщений и похитил $333 868. В тот же период были взломаны Syndicate и Aftermath Finance.
ZetaChain: эксплойт контракта GatewayEVM на $333 868
L1-блокчейн ZetaChain представил детальный постмортем хакерской атаки, произошедшей 27 апреля. Согласно отчёту, злоумышленник использовал уязвимость в механизме кроссчейн-сообщений и похитил $333 868, преимущественно в USDC и USDT.
«On Apr 27, ZetaChain experienced a targeted exploit involving deliberate preparation, including Tornado Cash funding and wallet address spoofing. Cross-chain ZETA transfers were not affected. No user funds were affected — all impacted wallets were ZetaChain-controlled.» — ZetaChain (@ZetaChain), оригинальный пост
Целью атаки стал контракт GatewayEVM — ключевой компонент, обеспечивающий взаимодействие между внешними блокчейнами и приложениями внутри экосистемы ZetaChain. Средства пользователей не пострадали: эксплойт затронул исключительно три внутренних кошелька, принадлежащих самой команде разработчиков.
Почему это важно
Серия атак на кроссчейн-инфраструктуру за последние дни апреля демонстрирует системные уязвимости в архитектуре межсетевых мостов и шлюзов. Три независимых проекта — ZetaChain, Syndicate и Aftermath Finance — подверглись эксплойтам практически одновременно, что ставит под вопрос безопасность кроссчейн-решений в целом. Суммарный ущерб от трёх инцидентов превысил $1,5 млн.
Три фактора, сделавших атаку возможной
Команда ZetaChain выделила три ключевых причины успеха эксплойта:
- Архитектура с минимальными ограничениями: сеть допускала произвольные вызовы от любого пользователя без достаточной верификации.
- Широкие полномочия GatewayEVM: контракт на принимающей стороне мог обрабатывать команду transferFrom, позволяющую перемещать активы от имени другого адреса при наличии одобрения (approve).
- Неотозванные безлимитные разрешения: пользователи, ранее вносившие токены через GatewayEVM.deposit(), предоставляли контракту неограниченное право списания средств, и эти разрешения не аннулировались автоматически.
По данным разработчиков, хакер готовился к операции заранее. За три дня до атаки он пополнил кошелёк через криптомиксер Tornado Cash и применил технику «отравления адресов» (address spoofing). Средства были выведены через девять транзакций в четырёх сетях: Ethereum, Arbitrum, Base и BSC. После кражи злоумышленник конвертировал активы в ETH.
ZetaChain уже выпустила патч в основной сети, устранив обнаруженную уязвимость. Всем пользователям рекомендовано отозвать устаревшие разрешения ERC-20 для контракта GatewayEVM.
Взлом Syndicate: $330 000 через мост Commons
28 апреля атаке подвергся инфраструктурный Ethereum-проект Syndicate. Команда зафиксировала аномальные перемещения нативного токена SYND, предположительно связанные с компрометацией кроссчейн-моста Commons.
«We are investigating unusual movements in SYND tokens that may indicate a possible security issue. We recommend avoiding provisioning any liquidity until this is resolved.» — Syndicate (@syndicateio), оригинальный пост
Разработчики Syndicate заявили, что ведут расследование совместно с фирмами по кибербезопасности и рассматривают варианты компенсации пострадавшим. По их словам, у проекта достаточно токенов для помощи затронутым пользователям.
Специалисты CertiK подтвердили факт эксплойта и оценили потери в $330 000. Атакующий приобрёл примерно 18,5 млн SYND, продал их и вывел средства в Ethereum.
«#CertiKInsight 🚨 We have seen an exploit involving @syndicateio through a compromise of the Commons bridge. This address acquired ~18.5M SYND and sold them for ~$330K, which has been bridged to Ethereum.» — CertiK Alert (@CertiKAlert), оригинальный пост
На фоне инцидента цена SYND обрушилась более чем на 36%, опустившись до $0,02 по данным CoinGecko.
Aftermath Finance на Sui: вывод $900 000 в USDC
Параллельно CertiK сообщила об эксплойте биржи Aftermath Finance, работающей в экосистеме Sui. Злоумышленник вывел около $900 000 в USDC.
«#CertiKInsight 🚨 We have seen an exploit involving @AftermathFi. ~$900K USDC drained so far. Still under investigation.» — CertiK Alert (@CertiKAlert), оригинальный пост
Команда Aftermath Finance уточнила, что все остальные продукты торговой площадки остаются в безопасности, а под удар попал исключительно протокол бессрочных фьючерсов.
Ранее в конце апреля хакеры также атаковали DeFi-проект Scallop в экосистеме Sui, похитив около 150 000 SUI из пула вознаграждений sSUI. Серия инцидентов подчёркивает растущие риски в секторе децентрализованных финансов и кроссчейн-инфраструктуры.
Часто задаваемые вопросы
Что произошло с ZetaChain 27 апреля?
Хакер воспользовался уязвимостью в контракте GatewayEVM и похитил $333 868 в USDC и USDT. Средства пользователей не пострадали — атака затронула только три внутренних кошелька команды разработчиков.
Какая уязвимость привела к взлому ZetaChain?
Сочетание трёх факторов: архитектура позволяла произвольные вызовы с минимальными ограничениями, контракт GatewayEVM мог выполнять команду transferFrom, а старые безлимитные разрешения ERC-20 не отзывались автоматически.
Сколько потерял Syndicate при взломе?
Ущерб оценивается в $330 000. Злоумышленник приобрёл около 18,5 млн токенов SYND через скомпрометированный мост Commons, продал их и вывел средства в Ethereum. Цена SYND упала более чем на 36%.
Что случилось с Aftermath Finance на Sui?
Из протокола бессрочных фьючерсов Aftermath Finance было выведено около $900 000 в USDC. Команда заявила, что остальные продукты платформы не были затронуты.
Как защититься от подобных эксплойтов?
ZetaChain рекомендовала всем пользователям отозвать старые разрешения ERC-20, предоставленные контракту GatewayEVM. Syndicate советовал воздержаться от предоставления ликвидности до завершения расследования.
Читайте также
Жертвы взлома Drift Protocol подали коллективный иск к Circle на возмещение $230 млн
Более 100 пострадавших от взлома Drift Protocol обратились в суд Массачусетса с иском против Circle, обвинив эмитента USDC в халатности и содействии хакерам.
ИИ-система Octane Security нашла критическую уязвимость в Ethereum-клиенте Nethermind
ИИ-система Octane Security обнаружила критическую уязвимость в Ethereum-клиенте Nethermind, способную остановить блокпроизводство у 38% валидаторов. Ethereum Foundation выплатил максимальную награду — $50 000.
TON Wallet запустил хранилища для пассивного дохода на BTC, ETH и USDT прямо в Telegram
TON Wallet представил хранилища (vaults) для пассивного дохода на BTC, ETH и USDT прямо в Telegram — до 18% годовых на стейблкоины через партнёрство с Morpho, TAC и Re7.
Недельный обзор: спасение экосистемы Aave на 100 000 ETH и квантовый взлом ключа ECC
Биткоин удержался у $78 000, DeFi-сообщество мобилизовало свыше 100 000 ETH для восстановления экосистемы после взлома Kelp, а исследователь впервые извлёк 15-битный ключ ECC на квантовом компьютере.
Переводы в стейблкоинах за январь превысили $10,5 трлн — рекорд с 2022 года
Совокупный объём стейблкоин-транзакций в январе 2026 года превысил $10,5 трлн — максимум с апреля 2022 года. USDC обеспечил $8,3 трлн переводов, а L2-сеть Base обработала $5,9 трлн, обойдя Ethereum и Tron.
Топ-10 долларовых стейблкоинов в 2026 году: кто доминирует и кому грозит вылет из рейтинга
Рыночная капитализация стейблкоинов превысила $311 млрд. Разбираем десятку крупнейших долларовых «стабильных монет» — от безусловных лидеров Tether и Circle до амбициозных новичков.