استغلال بوابة ZetaChain بقيمة 334 ألف دولار: كيف استنزفت ثغرة أمنية متسلسلة محافظ الفريق عبر 4 سلاسل

جدول المحتويات أكدت ZetaChain وجود استغلال مستهدف في 26 أبريل 2026، مما أدى إلى خسائر تبلغ حوالي 333,868 دولارًا أمريكيًا. استهدف الهجوم عقد GatewayEVM الخاص بالبروتوكول من خلال سلسلة متعمدة من نقاط الضعف في التصميم. لم يتم فقدان أي أموال مستخدم خارجي في الحادث. وكانت جميع المحافظ الثلاث المتضررة تحت سيطرة ZetaChain. تم نشر التصحيح منذ ذلك الحين، وتظل المعاملات عبر السلسلة متوقفة مؤقتًا في انتظار ترقيات المشغل الكاملة. تركز الثغرة على وظيفة الاتصال التعسفي ضمن عقد GatewayEVM الخاص بـ ZetaChain. استخدم أحد المهاجمين علامة isArbitraryCall لتجاوز التحقق العادي من المرسل في الرسائل عبر السلسلة. أدى هذا إلى قيام برنامج ZetaClient بإلغاء عنوان المرسل، وتوجيه المكالمات من خلال _executeArbitraryCall(). قامت هذه الوظيفة بإجراء مكالمات خارجية أولية بأقل قدر من القيود. كانت الحماية الوحيدة للوظيفة هي قائمة الرفض التي تحظر محددات onCall وonRevert. تم ترك وظائف ERC-20 الهامة مثل النقل من والموافقة غير محظورة. قام المهاجم بتعيين الوجهة كعقد رمزي ERC-20 ومرر عملية النقل من كبيانات الاتصال. ونظرًا لأن البوابة كانت تحتفظ بالسماحات الموجودة مسبقًا من محافظ الضحايا، فقد نفذت عملية النقل بنجاح. حدثت تسع معاملات استنزاف عبر أربع سلاسل – Ethereum، وBase، وArbitrum، وBSC. أكبر عملية استنزاف منفردة كانت 110,291 دولارًا أمريكيًا في USDC على القاعدة. أكد فحص Dune Analytics الشامل عدم وجود ضحايا إضافيين عبر جميع سلاسل EVM الخمس المتصلة. تناولت ZetaChain الحادث مباشرة على X، مشيرة إلى أن "عمليات ZETA عبر السلسلة لم تتأثر" وأنه "لم تتأثر أموال المستخدمين - جميع المحافظ المتأثرة كانت تحت سيطرة ZetaChain". في 27 أبريل، واجهت ZetaChain استغلالًا مستهدفًا يتضمن إعدادًا متعمدًا، بما في ذلك تمويل Tornado Cash وانتحال عنوان المحفظة. لم تتأثر عمليات نقل ZETA عبر السلسلة. لم تتأثر أموال المستخدمين – جميع المحافظ المتأثرة كانت تحت سيطرة ZetaChain. أ... — ZetaChain 🟩 (@ZetaChain) 29 أبريل 2026 لم يكن هذا هجومًا انتهازيًا. قام المتسلل بتمويل المحفظة الأساسية من خلال Tornado Cash قبل ثلاثة أيام تقريبًا من تنفيذ الاستغلال. وقد حجبت هذه الخطوة المتعمدة مصدر الأموال قبل العملية. قام المهاجم أيضًا بفرض عنوان محفظة وهمية يشبه إلى حد كبير العنوان الحقيقي للضحية. شارك العنوان المزيف 13 حرفًا سداسيًا عشريًا متطابقًا مع الحرف الحقيقي - أربعة في البادئة وتسعة في اللاحقة. يتطلب إنشاء هذا ما يقدر بنحو 4.5 كوادريليون مفتاح تجريبي، بتكلفة تتراوح بين 300 دولار و2500 دولار في حساب وحدة معالجة الرسومات. تم استخدام هذا العنوان المزيف لإرسال المعاملات الغبارية إلى الضحية، وزرع ما يشبهه في سجل معاملاته. تستغل هذه التقنية كيفية قيام واجهات المحفظة باقتطاع العناوين لعرضها. تم أيضًا نشر عقد تجفيف مصمم خصيصًا لهذا الغرض على ZetaChain لتنظيم المكالمات عبر السلسلة. لقد نجح كل عملية صرف مع عدم وجود أي فشل في الوجهة. وأشار تشريح الجثة إلى هذا النمط، مما يشير إلى أن "المتسلل قد تحقق بعناية مسبقًا من صحة حالة السماح لكل هدف وأرصدة الرمز المميز قبل التنفيذ". أوقفت ZetaChain جميع المعاملات عبر السلسلة مؤقتًا في غضون ثماني دقائق من اكتشاف الهجوم. قام الفريق بإزالة الموافقات غير المحدودة على المخصصات من تدفق إيداع ZetaHub في نفس اليوم. الودائع الجديدة توافق الآن فقط على المبالغ المحددة المطلوبة لكل معاملة. تم تطوير تصحيح zetaclient واختباره على Testnet، ويتم طرحه الآن على عقد مشغلي الشبكة الرئيسية. يعمل التصحيح بشكل دائم على تعطيل مسار رمز الاتصال التعسفي الذي جعل هذا الاستغلال ممكنًا. لا يحتاج مشغلو عقدة التحقق إلى اتخاذ أي إجراء - فقط العقد المراقبة هي التي تتطلب الترقية. تم وضع علامة على جميع عناوين المستغلين التي تم تحديدها من خلال شبكة الاستجابة للطوارئ SEAL 911. تم تقديم تقرير أيضًا إلى سلطات إنفاذ القانون من خلال IC3.gov. تم استبدال الأموال المسروقة على Ethereum بحوالي 139 ETH وتم نقلها إلى محفظة التوحيد. تقوم ZetaChain أيضًا بمراجعة عملية فرز مكافآت الأخطاء. وأقر التشريح بأنه تم الإبلاغ عن الثغرة الأمنية في وقت سابق، مشيرًا إلى أنه "تم رفض التقارير الأولية لأن سلوك الاتصال التعسفي كان يعتبر تصميمًا مقصودًا". وأضاف البروتوكول أن الحادث أدى منذ ذلك الحين إلى مراجعة إجراءات الفرز لنواقل الهجوم المتسلسلة. يُنصح المستخدمون الذين لديهم تفاعلات بوابة سابقة بإلغاء بدلات ERC-20 باستخدام أدوات مثل Revoc.cash.