Der Gateway-Exploit von ZetaChain im Wert von 334.000 US-Dollar: Wie eine verkettete Sicherheitslücke Team-Geldbörsen über 4 Ketten hinweg erschöpfte

Inhaltsverzeichnis ZetaChain bestätigte am 26. April 2026 einen gezielten Exploit, der zu Verlusten von etwa 333.868 US-Dollar führte. Der Angriff zielte durch eine absichtliche Kette von Designschwächen auf den GatewayEVM-Vertrag des Protokolls ab. Bei dem Vorfall gingen keine externen Benutzergelder verloren. Alle drei betroffenen Wallets standen unter der Kontrolle von ZetaChain. Seitdem wurde ein Patch bereitgestellt und kettenübergreifende Transaktionen bleiben bis zu vollständigen Betreiber-Upgrades pausiert. Der Exploit konzentrierte sich auf die willkürliche Aufruffunktion innerhalb des GatewayEVM-Vertrags von ZetaChain. Ein Angreifer nutzte das isArbitraryCall-Flag, um die normale Absenderüberprüfung in kettenübergreifenden Nachrichten zu umgehen. Dies führte dazu, dass die ZetaClient-Software die Absenderadresse auf Null setzte und Anrufe über _executeArbitraryCall() weiterleitete. Diese Funktion führte rohe externe Aufrufe mit minimalen Einschränkungen durch. Der einzige Schutz der Funktion bestand in einer Sperrliste, die die Selektoren onCall und onRevert blockierte. Kritische ERC-20-Funktionen wie „transferFrom“ und „Genehmigen“ wurden nicht blockiert. Der Angreifer hat das Ziel als ERC-20-Token-Vertrag festgelegt und transferFrom als Anrufdaten übergeben. Da das Gateway bereits vorhandene Berechtigungen aus den Wallets des Opfers besaß, führte es die Übertragung erfolgreich durch. Neun Drain-Transaktionen fanden in vier Ketten statt – Ethereum, Base, Arbitrum und BSC. Der größte Einzelabfluss betrug 110.291 US-Dollar in USDC auf Base. Ein umfassender Scan von Dune Analytics bestätigte, dass es in allen fünf verbundenen EVM-Ketten keine weiteren Opfer gab. ZetaChain ging auf den Vorfall direkt auf Am 27. April kam es bei ZetaChain zu einem gezielten Exploit, der eine gezielte Vorbereitung erforderte, einschließlich Tornado Cash-Finanzierung und Spoofing von Wallet-Adressen. Kettenübergreifende ZETA-Übertragungen waren nicht betroffen. Es waren keine Benutzergelder betroffen – alle betroffenen Wallets wurden von ZetaChain kontrolliert. A… – ZetaChain 🟩 (@ZetaChain) 29. April 2026 Dies war kein opportunistischer Angriff. Der Hacker finanzierte das primäre Wallet etwa drei Tage vor der Ausführung des Exploits über Tornado Cash. Dieser bewusste Schritt verschleierte die Herkunft der Gelder im Vorfeld der Operation. Der Angreifer erschuf auch brutal eine Vanity-Wallet-Adresse, die der echten Adresse des Opfers sehr ähnlich war. Die gefälschte Adresse hatte mit der echten 13 übereinstimmende Hexadezimalzeichen – vier am Präfix und neun am Suffix. Um dies zu generieren, waren schätzungsweise 4,5 Billiarden Testschlüssel erforderlich, was zwischen 300 und 2.500 US-Dollar an GPU-Rechenaufwand kostete. Diese gefälschte Adresse wurde verwendet, um Staubtransaktionen an das Opfer zu senden und so ein Doppelgänger in dessen Transaktionsverlauf einzufügen. Diese Technik nutzt aus, wie Wallet-Schnittstellen Adressen für die Anzeige kürzen. Auf ZetaChain wurde auch ein speziell entwickelter Drainer-Vertrag eingesetzt, um die kettenübergreifenden Aufrufe zu orchestrieren. Jeder einzelne Entleervorgang war erfolgreich, ohne Zielfehler. Bei der Obduktion wurde dieses Muster festgestellt, was darauf hindeutet, dass „der Hacker vor der Ausführung sorgfältig den Berechtigungsstatus und die Token-Guthaben jedes Ziels überprüft hatte“. ZetaChain pausierte alle kettenübergreifenden Transaktionen innerhalb von acht Minuten nach der Erkennung des Angriffs. Das Team entfernte am selben Tag unbegrenzte Zertifikatsgenehmigungen aus dem ZetaHub-Einzahlungsfluss. Neue Einzahlungen genehmigen jetzt nur die genauen Beträge, die pro Transaktion erforderlich sind. Ein Zetaclient-Patch wurde entwickelt, auf Testnet getestet und wird nun auf Mainnet-Betreiberknoten ausgerollt. Der Patch deaktiviert dauerhaft den willkürlichen Aufrufcodepfad, der diesen Exploit ermöglicht hat. Betreiber von Validatorknoten müssen keine Maßnahmen ergreifen – nur Beobachterknoten erfordern das Upgrade. Alle identifizierten Exploiter-Adressen wurden über das Notrufnetzwerk SEAL 911 gekennzeichnet. Über IC3.gov wurde auch eine Meldung bei den Strafverfolgungsbehörden eingereicht. Gestohlene Gelder auf Ethereum wurden gegen etwa 139 ETH getauscht und in ein Konsolidierungs-Wallet verschoben. ZetaChain überprüft außerdem seinen Bug-Bounty-Triage-Prozess. Die Obduktion räumte ein, dass die Sicherheitslücke bereits früher gemeldet worden sei, und stellte fest, dass „erste Berichte zurückgewiesen wurden, da das willkürliche Aufrufverhalten als beabsichtigt betrachtet wurde.“ Das Protokoll fügte hinzu, dass der Vorfall seitdem zu einer Überprüfung der Triage-Verfahren für verkettete Angriffsvektoren geführt habe. Benutzern mit früheren Gateway-Interaktionen wird empfohlen, ERC-20-Berechtigungen mithilfe von Tools wie Revoke.cash zu widerrufen.