ZetaChain hat alle kettenübergreifenden Transfers ausgesetzt, nachdem ein Angreifer eine Schwachstelle im GatewayEVM-Vertrag ausgenutzt hatte. Der Angriff betraf laut ersten Angaben des Projekts ausschließlich interne Team-Wallets und hatte keinerlei Auswirkungen auf die Gelder der Nutzer oder den ZETA-Token-Vorrat.
Am 27. April entdeckte das Team den Angriff und blockierte den Exploit-Vektor umgehend. Die Gesamtverluste im Zusammenhang mit diesen internen Wallets werden von Analyseplattformen und Sicherheitsforschern auf etwa 300.000 US-Dollar oder rund 139 ETH geschätzt.
Was im GatewayEVM-Vertrag schiefgelaufen ist
Der Angriff richtete sich gegen ZetaChains GatewayEVM, einen zentralen Smart Contract, der dabei hilft, Nachrichten und Vermögenswerte zwischen verschiedenen EVM-kompatiblen Blockchains weiterzuleiten. Das Sicherheitsunternehmen SlowMist und andere Forscher sagen, dass die grundlegende Schwachstelle in der Call-Funktion des Vertrags liegt, der es an angemessenen Zugriffskontrollen und Eingabeprüfungen mangelte.
Aufgrund dieser Schwachstelle konnte ein böswilliger Nutzer beliebige kettenübergreifende Aufrufe auslösen und das System dazu bringen, Vorgänge zu genehmigen, die es eigentlich hätte blockieren müssen. Eine Analyse beschreibt, wie der Angreifer einen benutzerdefinierten Exploit-Vertrag nutzte, um ein „Called“-Ereignis auszulösen, das das Schwellenwert-Signaturschema von ZetaChain aktivierte und dazu führte, dass Validatoren nicht autorisierte Transaktionen abzeichneten.
Die Reaktion von ZetaChain und die Sicherheit der Nutzer
Sobald das Team den Exploit bestätigt hatte, stoppte es vorsichtshalber die kettenübergreifenden Transaktionen im Mainnet, während es den Vorfall untersuchte und eine Lösung ausarbeitete. Die Statusseite von ZetaChain und Meldungen der Börsen zeigen, dass die kettenübergreifenden Funktionen noch stundenlang nach dem Vorfall pausiert blieben, obwohl der direkte Angriffsvektor bereits geschlossen war.
Das Sicherheitsunternehmen Blockaid gab zudem eine Warnung heraus, in der es die Nutzer dazu aufforderte, alle früheren Genehmigungen für den GatewayEVM-Vertrag in Ethereum, Arbitrum, Base und anderen EVM-Netzwerken zu widerrufen. Trotz der Störung sind sich alle wichtigen Berichte einig, dass die regulären Nutzer-Assets und Liquiditätspools sicher blieben und nur interne Wallets direkte Verluste erlitten.
Nach Abschluss ihrer internen Untersuchung hat sich ZetaChain verpflichtet, eine umfassende Nachbetrachtung vorzulegen. Das Team erwartet, dass das Dokument beschreibt, wie die Schwachstelle den Audits entgangen ist, wie der Angreifer den Exploit entwickelt hat und welche neuen Sicherheitsvorkehrungen das Projekt in seine kettenübergreifende Architektur integrieren wird.
Der Vorfall reiht sich ein in eine wachsende Liste von Hacks auf Brücken- und Cross-Chain-Verträge, von denen DeFi in letzter Zeit betroffen war. Vorerst liegt die Priorität von ZetaChain darauf, die Cross-Chain-Funktionalität sicher wiederherzustellen, den Nutzern zu versichern, dass ihre Gelder sicher sind, und die Sicherheit rund um alle Verträge zu erhöhen, die Multi-Chain-Nachrichten und Vermögensströme abwickeln.
WEITERLESEN: Pudgy Penguins (PENGU) strebt nach Paxos-Partnerschaft den Durchbruch an
