El exploit de puerta de enlace de ZetaChain de 334.000 dólares: cómo una vulnerabilidad encadenada agotó las carteras de los equipos en 4 cadenas

ZetaChain confirmó un exploit dirigido el 26 de abril de 2026, lo que resultó en pérdidas de aproximadamente $333,868. El ataque tuvo como objetivo el contrato GatewayEVM del protocolo a través de una cadena deliberada de debilidades de diseño. No se perdieron fondos de usuarios externos en el incidente. Las tres carteras afectadas estaban bajo el control de ZetaChain. Desde entonces, se implementó un parche y las transacciones entre cadenas permanecen en pausa en espera de actualizaciones completas del operador. El exploit se centró en la funcionalidad de llamada arbitraria dentro del contrato GatewayEVM de ZetaChain. Un atacante utilizó el indicador isArbitraryCall para eludir la verificación normal del remitente en mensajes entre cadenas. Esto provocó que el software ZetaClient pusiera a cero la dirección del remitente, enrutando las llamadas a través de _executeArbitraryCall(). Esa función realizó llamadas externas sin procesar con restricciones mínimas. La única protección de la función era una lista de denegación que bloqueaba los selectores onCall y onRevert. Las funciones críticas de ERC-20 como transferirDesde y aprobar se dejaron desbloqueadas. El atacante estableció el destino como un contrato de token ERC-20 y pasó transferFrom como datos de llamada. Dado que la puerta de enlace tenía asignaciones preexistentes de las billeteras de las víctimas, ejecutó la transferencia con éxito. Se produjeron nueve transacciones de drenaje en cuatro cadenas: Ethereum, Base, Arbitrum y BSC. La pérdida individual más grande fue de $110,291 en USDC en Base. Un escaneo completo de Dune Analytics confirmó que no existían víctimas adicionales en las cinco cadenas EVM conectadas. ZetaChain abordó el incidente directamente en X, afirmando que "las transferencias ZETA entre cadenas no se vieron afectadas" y que "ningún fondo de usuario se vio afectado; todas las billeteras afectadas estaban controladas por ZetaChain". El 27 de abril, ZetaChain experimentó un exploit dirigido que implicó una preparación deliberada, incluida la financiación de Tornado Cash y la suplantación de direcciones de billetera. Las transferencias ZETA entre cadenas no se vieron afectadas. Ningún fondo de usuario se vio afectado: todas las billeteras afectadas estaban controladas por ZetaChain. A… - ZetaChain 🟩 (@ZetaChain) 29 de abril de 2026 Este no fue un ataque oportunista. El hacker financió la billetera principal a través de Tornado Cash aproximadamente tres días antes de ejecutar el exploit. Ese paso deliberado ocultó el origen de los fondos antes de la operación. El atacante también forzó con fuerza bruta una dirección de billetera personalizada que se parecía mucho a la dirección real de la víctima. La dirección falsa compartía 13 caracteres hexadecimales coincidentes con la dirección real: cuatro en el prefijo y nueve en el sufijo. Generar esto requirió aproximadamente 4,5 mil billones de claves de prueba, con un costo de entre $ 300 y $ 2500 en cómputo de GPU. Esa dirección falsa se utilizó para enviar transacciones de polvo a la víctima, colocando una copia en su historial de transacciones. Esta técnica aprovecha cómo las interfaces de billetera truncan las direcciones para mostrarlas. También se implementó un contrato de drenaje especialmente diseñado en ZetaChain para orquestar las llamadas entre cadenas. Cada drenaje tuvo éxito y no hubo fallas en el destino. La autopsia observó este patrón, sugiriendo que "el hacker había validado previamente cuidadosamente el estado de asignación y los saldos de tokens de cada objetivo antes de ejecutar". ZetaChain detuvo todas las transacciones entre cadenas dentro de los ocho minutos posteriores a la detección del ataque. El equipo eliminó las aprobaciones de asignaciones infinitas del flujo de depósitos de ZetaHub el mismo día. Los nuevos depósitos ahora aprueban solo los montos exactos requeridos por transacción. Se desarrolló un parche zetaclient, se probó en Testnet y ahora se está implementando en los nodos del operador de la red principal. El parche desactiva permanentemente la ruta del código de llamada arbitraria que hizo posible este exploit. Los operadores del nodo validador no necesitan tomar medidas; solo los nodos observadores requieren la actualización. Todas las direcciones de explotadores identificadas fueron marcadas a través de la red de respuesta de emergencia SEAL 911. También se presentó un informe ante las autoridades a través de IC3.gov. Los fondos robados en Ethereum se cambiaron a aproximadamente 139 ETH y se trasladaron a una billetera de consolidación. ZetaChain también está revisando su proceso de clasificación de recompensas por errores. La autopsia reconoció que la vulnerabilidad se había señalado anteriormente y señaló que "los informes iniciales fueron descartados porque el comportamiento de llamada arbitrario se consideró por diseño". El protocolo agregó que desde entonces el incidente ha provocado una revisión de los procedimientos de clasificación de vectores de ataque encadenados. Se recomienda a los usuarios con interacciones previas con la puerta de enlace que revoquen las asignaciones ERC-20 utilizando herramientas como Revoke.cash.