Het Layer 1-netwerk ZetaChain heeft gezegd dat de exploit van 24 april gericht was op een kwetsbaarheid in zijn cross-chain berichtenpijplijn.
Op maandag ondervond ZetaChain een aanval op het GatewayEVM-contract, dat dient als een uniform toegangspunt voor cross-chain interacties tussen externe netwerken en ZetaChain-apps.
In een op dinsdag gepubliceerd post-mortem herhaalde ZetaChain dat er geen gebruikersfondsen verloren zijn gegaan door de aanval, terwijl slechts drie interne teamwallets waren getroffen. De totale verliezen bedroegen $333.868, voornamelijk bestaande uit USDC en USDT, verdeeld over negen transacties op vier ketens — Ethereum, Arbitrum, Base en BSC.
Het rapport legde uit dat de aanvaller profiteerde van de op interoperabiliteit gerichte keten door drie problemen in het cross-chain berichtensysteem te combineren.
ZetaChain's cross-chain systeem stond iedereen toe 'willekeurige oproepen' te doen met minimale beperkingen, terwijl het GatewayEVM-contract aan de ontvangende zijde de meeste commando's accepteerde, inclusief "transferFrom".
Tenslotte hadden gebruikers die eerder tokens hadden gestort via "GatewayEVM.deposit()" onbeperkte goedkeuringen verleend om de tokens uit te geven, welke nooit waren ingetrokken. De aanvaller gebruikte deze maas in de wet om de tokens uit de wallets te halen, zo legde ZetaChain uit.
"Dit was geen opportunistische aanval," zei het team. "De aanvaller heeft aanzienlijke tijd en middelen geïnvesteerd ter voorbereiding voordat deze werd uitgevoerd."
ZetaChain merkte op dat de wallet van de aanvaller ongeveer drie dagen vóór de aanval via Tornado Cash was gefinancierd om opzettelijk de bron van de fondsen te maskeren.
Daarnaast lanceerde de aanvaller een brute-force aanval op een vanity-adres dat een wallet van een slachtoffer nabootste, een klassieke 'address poisoning' techniek die waarschijnlijk werd gebruikt om kwaadaardige onchain-activiteit verder te verhullen.
Na de exploit wisselde de aanvaller snel de gestolen USDC en USDT om voor ETH.
ZetaChain zei dat het sindsdien een patch heeft geïmplementeerd op het mainnet om de kwetsbaarheid te elimineren. De cross-chain transactie functionaliteit, die kort na de exploit werd gepauzeerd, blijft gesloten en zal opnieuw worden ingeschakeld nadat upgrades en aanvullende controles zijn voltooid.
"Als voorzorgsmaatregel raden we alle gebruikers die eerder interactie hebben gehad met de ZetaChain gateway-contracten aan om alle openstaande ERC-20 token-toestemmingen in te trekken die zijn verleend aan de hierboven vermelde gateway-adressen," zei ZetaChain.
De aanval op ZetaChain volgt op de exploit van de LayerZero-aangedreven cross-chain bridge Kelp DAO, waarbij $292 miljoen uit het protocol is gehaald. Gegevens van DefiLlama tonen aan dat er de afgelopen 10 dagen minstens 11 exploits waren gericht op kwetsbaarheden in DeFi-protocollen.
Disclaimer: The Block is een onafhankelijke media-uitlaatklep die nieuws, onderzoek en gegevens levert. Sinds november 2023 is Foresight Ventures de meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Crypto-beurs Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
