ZetaChain остановил кроссчейн-транзакции после эксплойта контракта GatewayEVM

Эксплойт GatewayEVM: что произошло

27 апреля злоумышленник обнаружил и эксплуатировал уязвимость в смарт-контракте GatewayEVM — ключевом компоненте блокчейна первого уровня ZetaChain. По заявлению команды проекта, инцидент затронул исключительно внутренние кошельки разработчиков, а пользовательские средства остались в безопасности.

«There was an attack against the ZetaChain GatewayEVM contract today that impacted the internal ZetaChain team wallets only. We've already blocked the attack vector so no more funds can be compromised and will be releasing a detailed post mortem after we have completed our…» — ZetaChain 🟩 (@ZetaChain), оригинальный пост

Сразу после обнаружения атаки команда ZetaChain заблокировала вектор нападения и приостановила все кроссчейн-транзакции, чтобы исключить дальнейший вывод активов. Аналитическая платформа DefiLlama оценила размер ущерба в $300 000. Сам проект точную сумму потерь не раскрыл, но анонсировал публикацию детального post mortem-отчёта.

Почему это важно

ZetaChain позиционируется как блокчейн первого уровня для нативных кроссчейн-операций, и обнаруженная уязвимость ставит под вопрос безопасность его базовой инфраструктуры. Кроссчейн-мосты и шлюзы остаются одной из наиболее уязвимых точек в DeFi-экосистеме — их взлом может привести к потере средств сразу в нескольких сетях.

На фоне произошедшего цена токена ZETA просела на 0,6%, опустившись до $0,05.

Корневая причина: анализ SlowMist

Аналитики блокчейн-безопасности из компании SlowMist провели предварительное расследование и указали на конкретную уязвимость — функцию call в контракте GatewayZEVM. Эта функция не содержала ни контроля доступа, ни валидации входных данных, что открывало возможность любому адресу инициировать произвольные межсетевые вызовы.

«🚨 @ZetaChain has been exploited. Based on initial analysis, the following outlines the root cause. The core vulnerability lies in the call function of ZetaChain's GatewayZEVM contract, which lacks both access control and input validation. This allows any arbitrary…» — SlowMist (@SlowMist_Team), оригинальный пост

Механизм атаки выглядел следующим образом: ретранслятор сети подхватывал вредоносные вызовы и автоматически исполнял их в целевых блокчейнах. Таким образом злоумышленник получил возможность выводить средства из внутренних кошельков проекта.

Singularity Finance потерял $413 000 в тот же день

Параллельно с инцидентом ZetaChain произошла ещё одна атака — на проект Singularity Finance в сети Base. На неё обратил внимание специалист по кибербезопасности под псевдонимом Arsen.

«🚨 $413K drained from Singularity Finance. Admin set unsupported oracle fee tier, and every pool returned address(0). Attacker flash-loaned 100k USDC, minted 99.99% of supply, redeemed for real balances.» — Arsen (@arsen_bt), оригинальный пост

Причиной стала ошибка администратора платформы: он указал некорректный параметр комиссии для оракулов, в результате чего все пулы начали возвращать нулевой адрес. Злоумышленник взял флеш-кредит на 100 000 USDC через Morpho, внёс их в хранилище и получил 99,99% токенов по искажённому курсу, после чего обменял их на реальные активы. Общий ущерб составил $413 000.

Команда Singularity Finance на момент публикации не прокомментировала произошедшее. Токен SFI потерял 0,3% стоимости, опустившись до $0,005 по данным CoinGecko.

Серия DeFi-атак продолжается

Оба инцидента произошли на фоне серии недавних атак на DeFi-протоколы. 26 апреля хакеры атаковали протокол Scallop и вывели из пула вознаграждений sSUI порядка 150 000 SUI. Ещё раньше была скомпрометирована платформа Volo. Все эти события подтверждают устойчивый тренд: смарт-контракты с недостаточной проверкой входных данных и контролем доступа остаются лёгкой мишенью для атакующих.