Zetachain 在 GatewayZEVM 合約遭漏洞攻擊並鎖定協議錢包後暫停主網

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯2937 字

Zetachain 于 4 月 28 日暂停了其主网，此前其 GatewayZEVM 智能合约中的一个漏洞遭到利用，安全研究人员在事件发生后的数小时内确认了根本原因。 Zetachain 在 GatewayZEVM 合约漏洞针对协议钱包后暂停主网关键要点： - 在针对 GatewayZEVM 合约 call 函数的漏洞攻击波及内部团队钱包后，Zetachain 于周二暂停了跨链交易。 - Slowmist 确定根本原因是 call 函数中缺少访问控制和输入验证，导致任何用户都可以在未经授权的情况下触发恶意的跨链调用。 - 该事件是 2026 年 4 月发生的第二起重大跨链漏洞攻击，此前 KelpDAO 的黑客攻击引发了自 2024 年以来最严重的 DeFi 流动性紧缩。 Slowmist 的初步分析团队指出 GatewayZEVM 合约的 call 函数是攻击入口。该函数不包含任何访问控制和输入验证，这种组合使得任何外部地址都可以在未经授权的情况下触发恶意的跨链调用，并将其路由至任意目标。Wu Blockchain 在此后不久独立确认了根本原因。 Zetachain 表示，此次漏洞攻击影响了其内部团队钱包（估计价值 30 万美元），并补充称用户资金未受到直接影响。该协议在安全团队评估漏洞的全部影响范围期间暂停了跨链交易。调查结束后预计将发布事后分析报告。此外，该事件发生时跨链基础设施正处于困难时期，本月早些时候，KelpDAO 的漏洞攻击引发了去中心化金融（DeFi）协议中流动性撤出的连锁反应，导致了自 2024 年以来最严重的紧缩。不过，Arbitrum Security Council 采取了紧急行动，冻结了与 KelpDAO 攻击者相关的 30,766 ETH。访问控制是根本问题 Slowmist 的调查结果再次凸显了智能合约漏洞中一个反复出现的模式，即在处理敏感操作的函数上应用了缺失或不足的访问控制。在 Zetachain 的案例中，GatewayZEVM 中的 call 函数可由任何外部地址部署且没有任何权限检查，这为将任意输入处理为合法的跨链指令敞开了大门。缺乏输入验证的阻断机制加剧了风险，因为在不对函数接收的数据进行检查的情况下，攻击者可以精心制作恶意载荷并将其定向到跨链中非预期的目的地（绕过合约逻辑中任何预设的信任边界）。安全研究人员一直将访问控制不足标记为生产环境智能合约中最常见且可预防的漏洞之一。Zetachain 的 GatewayZEVM 合约在部署前是否经过了正式的第三方安全审计尚未得到确认。

数据状态✓ 已抓取全文阅读原文（Bitcoin.com）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-27

ZetaChain 在黑客攻擊團隊錢包後暫停主網

相似度 280%關鍵字 mainnet/zetachain/pauses

2026-04-28

Aave 关联 DeFi 协议 United 在 Kelp 发生 2.93 亿美元被盗事件后公布 rsETH 恢复计划

相似度 130%關鍵字 after/exploit

2026-04-28

DeFi United 公布在 KelpDAO 被攻擊後恢復 rsETH 抵押品的技術方案

相似度 130%關鍵字 after/exploit

2026-04-27

Litecoin 在遭受攻击后重写交易历史，并就相关社交媒体帖文致歉

相似度 130%關鍵字 after/exploit

2026-04-26

又一起 DeFi 漏洞利用事件导致 Scallop 的已弃用合约被盗取 150,000 SUI

相似度 130%關鍵字 contract/exploit

2026-04-24

在 $292 Million KelpDAO 被駭事件後，Aave 領銜成立 DeFi United Coalition

相似度 130%關鍵字 after/exploit

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：07d418b39d

来源：Bitcoin.com

发布：2026-04-28 05:30:22

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言