• Zetachain在周二暂停了跨链交易，因为一个针对GatewayZEVM合约调用功能的攻击影响了内部团队的钱包。
• Slowmist确认根本原因是缺少访问控制和输入验证，允许任何用户在未经授权的情况下触发恶意的跨链调用。
• 这一事件标志着2026年4月的第二起重大跨链攻击，此前KelpDAO的黑客事件引发了自2024年以来最严重的DeFi流动性危机。

团队 pinpointed GatewayZEVM合约的调用功能作为入口点。该功能没有访问控制和输入验证，造成任何外部地址可在未授权的情况下触发恶意的跨链调用并将其路由到任意目标。吴区块链 随后独立确认了根本原因。

图片来源：X

Zetachain表示，这次攻击影响了其内部团队的钱包（估计价值30万美元），并补充说用户资金并未直接受到影响。该协议在其安全团队评估泄露的全部范围时暂停了跨链交易。调查结束后，预计会进行事后分析。

此外，此事件发生在跨链基础设施困难时刻，本月早些时候，KelpDAO攻击引发了一系列去中心化金融（DeFi）协议的流动性撤回，导致自2024年以来最严重的DeFi危机。然而，Arbitrum安全委员会采取了紧急行动冻结了30,766 ETH与KelpDAO攻击者相关。

Slowmist的发现再次突显出智能合约攻击中经常出现的模式，即在处理敏感操作的功能上缺少或不足的访问控制。在Zetachain的案例中，GatewayZEVM中的调用功能可被任何外部地址调用，而没有权限检查，留下了处理任意输入作为合法跨链指令的空间。

缺乏输入验证的制止措施加剧了风险，因为在未检查功能接收何种数据的情况下，攻击者可以构建恶意有效负载并将其引向链之间的意外目的地（绕过合约逻辑中的任何假定信任边界）。

安全研究人员一直将不足的访问控制标记为生产智能合约中最常见和可预防的漏洞之一。尚未确认Zetachain的GatewayZEVM合约在部署之前是否经过正式的第三方安全审计。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。