Jaringan Layer 1 ZetaChain menyatakan bahwa eksploitasi 24 April menargetkan kerentanan pada pipeline pesan lintas-rantai miliknya.
Pada hari Senin, ZetaChain mengalami serangan pada kontrak GatewayEVM, yang berfungsi sebagai titik masuk terpadu untuk interaksi lintas-rantai antara jaringan eksternal dan aplikasi ZetaChain.
Dalam post-mortem yang diterbitkan pada hari Selasa, ZetaChain menegaskan kembali bahwa tidak ada dana pengguna yang hilang dari serangan tersebut, sementara hanya tiga dompet tim internal yang terkena dampaknya. Total kerugian mencapai $333.868, sebagian besar terdiri dari USDC dan USDT, di sembilan transaksi pada empat rantai — Ethereum, Arbitrum, Base, dan BSC.
Laporan tersebut menjelaskan bahwa penyerang memanfaatkan rantai yang berfokus pada interoperabilitas dengan menyelaraskan tiga masalah dalam sistem pesan lintas-rantai.
Sistem lintas-rantai ZetaChain memungkinkan siapa saja untuk meminta "panggilan arbitrer" dengan batasan minimum, sementara kontrak GatewayEVM di sisi penerima menerima sebagian besar perintah, termasuk "transferFrom."
Terakhir, pengguna yang sebelumnya telah menyetor token melalui "GatewayEVM.deposit()" telah memberikan persetujuan tak terbatas untuk membelanjakan token tersebut, yang tidak pernah dicabut. Penyerang memanfaatkan celah ini untuk menguras token dari dompet, jelas ZetaChain.
"Ini bukan serangan oportunistik," kata tim. "Penyerang menginvestasikan waktu dan sumber daya yang signifikan dalam persiapan sebelum melaksanakan."
ZetaChain mencatat bahwa dompet penyerang didanai melalui Tornado Cash sekitar tiga hari sebelum serangan untuk sengaja menyembunyikan sumber dana.
Selain itu, penyerang melancarkan serangan brute-force pada alamat vanity yang meniru dompet korban, sebuah teknik 'address poisoning' klasik yang kemungkinan digunakan untuk lebih mengaburkan aktivitas on-chain yang berbahaya.
Setelah eksploitasi, penyerang dengan cepat menukar USDC dan USDT yang dicuri dengan ETH.
ZetaChain mengatakan telah menerapkan patch ke mainnet untuk menghilangkan kerentanan tersebut. Fungsionalitas transaksi lintas-rantainya, yang sempat dijeda tak lama setelah eksploitasi, tetap ditutup dan akan diaktifkan kembali setelah peningkatan dan tinjauan tambahan selesai.
"Sebagai tindakan pencegahan, kami merekomendasikan semua pengguna yang sebelumnya telah berinteraksi dengan kontrak gateway ZetaChain untuk mencabut setiap izin token ERC-20 yang belum dicabut yang diberikan kepada alamat gateway yang tercantum di atas," kata ZetaChain.
Serangan terhadap ZetaChain ini mengikuti eksploitasi jembatan lintas-rantai Kelp DAO yang didukung LayerZero, yang telah menguras $292 juta dari protokol tersebut. Data DefiLlama menunjukkan bahwa telah terjadi setidaknya 11 eksploitasi yang menargetkan kerentanan dalam protokol DeFi dalam 10 hari terakhir.
Disclaimer: The Block adalah outlet media independen yang menyajikan berita, riset, dan data. Per November 2023, Foresight Ventures adalah investor mayoritas The Block. Foresight Ventures berinvestasi di perusahaan lain di ruang kripto. Bursa kripto Bitget adalah LP jangkar untuk Foresight Ventures. The Block terus beroperasi secara independen untuk menyajikan informasi yang objektif, berdampak, dan tepat waktu tentang industri kripto. Berikut adalah pengungkapan keuangan kami saat ini.
© 2026 The Block. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Artikel ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.
