Sinabi ng Layer 1 network na ZetaChain na ang exploit noong Abril 24 ay pinuntirya ang isang kahinaan sa cross-chain messaging pipeline nito.
Noong Lunes, nakaranas ang ZetaChain ng pag-atake sa GatewayEVM contract, na nagsisilbing pinag-isang entry point para sa mga cross-chain na interaksyon sa pagitan ng mga external network at ZetaChain app.
Sa isang post-mortem na inilathala noong Martes, muling iginiit ng ZetaChain na walang nawalang pondo ng user mula sa pag-atake, habang tatlong internal team wallet lamang ang naapektuhan. Ang kabuuang pagkalugi ay umabot sa $333,868, na binubuo pangunahin ng USDC at USDT, sa siyam na transaksyon sa apat na chain — Ethereum, Arbitrum, Base, at BSC.
Ipinaliwanag ng ulat na sinamantala ng attacker ang chain na nakatuon sa interoperability sa pamamagitan ng pagtukoy at pagsasamantala sa tatlong isyu sa cross-chain messaging system.
Pinahintulutan ng cross-chain system ng ZetaChain ang sinuman na humiling ng "arbitrary calls" na may minimum na restriksyon, habang tinanggap ng GatewayEVM contract sa receiving end ang karamihan sa mga utos, kabilang ang "transferFrom."
Sa huli, ang mga user na nagdeposito ng mga token sa pamamagitan ng "GatewayEVM.deposit()" ay nagbigay ng walang limitasyong pagpapahintulot (approvals) upang gastusin ang mga token, na hindi kailanman binawi. Ginamit ng attacker ang butas na ito para ubusin ang mga token mula sa mga wallet, paliwanag ng ZetaChain.
"Hindi ito isang opportunistic na pag-atake," sabi ng team. "Namuhunan ang exploiter ng malaking oras at resources sa paghahanda bago ito isagawa."
Napansin ng ZetaChain na ang wallet ng attacker ay pinondohan sa pamamagitan ng Tornado Cash mga tatlong araw bago ang pag-atake upang sadyang itago ang pinagmulan ng pondo.
Bukod pa rito, nagsagawa ang exploiter ng brute-force attack sa isang vanity address na ginagaya ang wallet ng biktima, isang klasikong address poisoning technique na malamang na ginamit upang mas lalong itago ang malisyosong onchain activity.
Kasunod ng exploit, mabilis na ipinagpalit ng attacker ang ninakaw na USDC at USDT para sa ETH.
Sinabi ng ZetaChain na nag-deploy na ito ng patch sa mainnet upang maalis ang kahinaan. Ang functionality ng cross-chain transaction nito, na pansamantalang itinigil pagkatapos ng exploit, ay nananatiling sarado at muling bubuksan pagkatapos makumpleto ang mga upgrade at karagdagang review.
"Bilang panukalang pag-iingat, inirerekomenda namin sa lahat ng user na nakipag-ugnayan na sa mga ZetaChain gateway contract na bawiin ang anumang outstanding na ERC-20 token allowances na ipinagkaloob sa mga gateway address na nakalista sa itaas," sabi ng ZetaChain.
Ang pag-atake sa ZetaChain ay sumunod sa exploit ng cross-chain bridge na Kelp DAO na pinapagana ng LayerZero, na nakakuha ng $292 milyon mula sa protocol. Ipinapakita ng datos mula sa DefiLlama na mayroong hindi bababa sa 11 exploit na pinuntirya ang mga kahinaan sa mga DeFi protocol sa nakalipas na 10 araw.
Disclaimer: Ang The Block ay isang independiyenteng media outlet na naghahatid ng balita, pananaliksik, at datos. Noong Nobyembre 2023, ang Foresight Ventures ay isang majority investor ng The Block. Ang Foresight Ventures ay namumuhunan sa iba pang kumpanya sa crypto space. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Patuloy na nagpapatakbo ang The Block nang independiyente upang maghatid ng obhetibo, makabuluhan, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang financial disclosures.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay ibinigay para sa layunin ng impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
