A rede Layer 1 ZetaChain afirmou que o exploit de 24 de abril teve como alvo uma vulnerabilidade em seu pipeline de mensagens cross-chain.
Na segunda-feira, a ZetaChain sofreu um ataque ao contrato GatewayEVM, que serve como um ponto de entrada unificado para interações cross-chain entre redes externas e aplicativos ZetaChain.
Em um post-mortem publicado na terça-feira, a ZetaChain reiterou que nenhum fundo de usuário foi perdido no ataque, enquanto apenas três carteiras internas da equipe foram impactadas. As perdas totais somaram US$ 333.868, compreendendo principalmente USDC e USDT, em nove transações em quatro redes — Ethereum, Arbitrum, Base e BSC.
O relatório explicou que o atacante se aproveitou da rede focada em interoperabilidade, alinhando três problemas no sistema de mensagens cross-chain.
O sistema cross-chain da ZetaChain permitia que qualquer pessoa solicitasse "chamadas arbitrárias" com restrições mínimas, enquanto o contrato GatewayEVM, no lado receptor, aceitava a maioria dos comandos, incluindo "transferFrom".
Por fim, os usuários que haviam depositado tokens anteriormente via "GatewayEVM.deposit()" haviam concedido aprovações ilimitadas para gastar os tokens, que nunca foram revogadas. O atacante aproveitou essa falha para drenar os tokens das carteiras, explicou a ZetaChain.
"Este não foi um ataque oportunista", disse a equipe. "O explorador investiu tempo e recursos significativos em preparação antes de executar."
A ZetaChain observou que a carteira do atacante foi financiada através do Tornado Cash cerca de três dias antes do ataque para mascarar deliberadamente a origem dos fundos.
Além disso, o explorador lançou um ataque de força bruta a um endereço de vaidade que imitava a carteira de uma vítima, uma técnica clássica de envenenamento de endereço provavelmente usada para ofuscar ainda mais a atividade maliciosa on-chain.
Após o exploit, o atacante rapidamente trocou os USDC e USDT roubados por ETH.
A ZetaChain disse que desde então implantou um patch na mainnet para eliminar a vulnerabilidade. Sua funcionalidade de transação cross-chain, que foi pausada logo após o exploit, permanece fechada e será reativada após a conclusão das atualizações e revisões adicionais.
"Como medida de precaução, recomendamos que todos os usuários que interagiram anteriormente com os contratos de gateway da ZetaChain revoguem quaisquer permissões de token ERC-20 pendentes concedidas aos endereços de gateway listados acima", disse a ZetaChain.
O ataque à ZetaChain segue o exploit da ponte cross-chain Kelp DAO, alimentada por LayerZero, que drenou US$ 292 milhões do protocolo. Dados da DefiLlama mostram que houve pelo menos 11 exploits visando vulnerabilidades em protocolos DeFi nos últimos 10 dias.
Aviso Legal: The Block é um veículo de mídia independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é uma investidora majoritária da The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é um LP âncora para a Foresight Ventures. A The Block continua a operar de forma independente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
