La red Layer 1 ZetaChain informó que el exploit del 24 de abril se dirigió a una vulnerabilidad en su pipeline de mensajería cross-chain.
El lunes, ZetaChain experimentó un ataque al contrato GatewayEVM, que sirve como punto de entrada unificado para interacciones cross-chain entre redes externas y aplicaciones de ZetaChain.
En un informe post-mortem publicado el martes, ZetaChain reiteró que no se perdieron fondos de usuarios debido al ataque, y que solo tres billeteras del equipo interno se vieron afectadas. Las pérdidas totales ascendieron a $333,868, compuestas principalmente por USDC y USDT, a través de nueve transacciones en cuatro cadenas: Ethereum, Arbitrum, Base y BSC.
El informe explicó que el atacante se aprovechó de la cadena centrada en la interoperabilidad al alinear tres problemas en el sistema de mensajería cross-chain.
El sistema cross-chain de ZetaChain permitía a cualquiera solicitar "llamadas arbitrarias" con restricciones mínimas, mientras que el contrato GatewayEVM, en el extremo receptor, aceptaba la mayoría de los comandos, incluido "transferFrom".
Por último, los usuarios que habían depositado tokens previamente a través de "GatewayEVM.deposit()" habían otorgado aprobaciones ilimitadas para gastar los tokens, las cuales nunca fueron revocadas. El atacante aprovechó esta laguna para drenar los tokens de las billeteras, explicó ZetaChain.
"Este no fue un ataque oportunista", dijo el equipo. "El explotador invirtió una cantidad significativa de tiempo y recursos en la preparación antes de la ejecución".
ZetaChain señaló que la billetera del atacante fue financiada a través de Tornado Cash unos tres días antes del ataque para enmascarar deliberadamente la fuente de los fondos.
Además, el explotador lanzó un ataque de fuerza bruta contra una dirección de vanidad que imitaba la billetera de una víctima, una técnica clásica de envenenamiento de direcciones probablemente utilizada para ofuscar aún más la actividad maliciosa onchain.
Tras el exploit, el atacante rápidamente intercambió los USDC y USDT robados por ETH.
ZetaChain dijo que desde entonces ha implementado un parche en la mainnet para eliminar la vulnerabilidad. Su funcionalidad de transacción cross-chain, que fue pausada poco después del exploit, permanece cerrada y se volverá a habilitar una vez que se completen las actualizaciones y revisiones adicionales.
"Como medida de precaución, recomendamos a todos los usuarios que hayan interactuado previamente con los contratos de gateway de ZetaChain que revoquen cualquier permiso de token ERC-20 pendiente otorgado a las direcciones de gateway mencionadas anteriormente", dijo ZetaChain.
El ataque a ZetaChain sigue al exploit del puente cross-chain Kelp DAO, impulsado por LayerZero, que drenó $292 millones del protocolo. Los datos de DefiLlama muestran que ha habido al menos 11 exploits dirigidos a vulnerabilidades en protocolos DeFi en los últimos 10 días.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es el inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block sigue operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
