ZetaChain pysäyttää toiminnan hyökkäyksen jälkeen — Scallop hakkeroitu Sui-ketjussa
- ZetaChain pysäytti ketjujen välisen toiminnan tiimilompakoihin kohdistuneen hyökkäyksen jälkeen.
- Scallop-lainausprotokolla Sui-ketjussa menetti 150 000 SUI-tokenia.
- DeFi-turvallisuusongelmat jatkuvat Kelp DAO:n 292 miljoonan dollarin hakkeroinnin jälkeen.
Kaksi erillistä DeFi-hyökkäystä samana päivänä korostaa hajautetun rahoituksen jatkuvia turvallisuusongelmia tilanteessa, jossa Kelp DAO:n 292 miljoonan dollarin hakkerointi on yhä tuoreessa muistissa.
ZetaChainin smart contract -haavoittuvuus paljastui
Ketjujen väliseen yhteentoimivuuteen keskittyvä ZetaChain joutui maanantaina hyökkäyksen kohteeksi, kun sen GatewayZEVM-sopimuksesta löytyi kriittinen haavoittuvuus. Tietoturvayhtiö SlowMistin analyysin mukaan sopimuksen call-funktiosta puuttuivat asianmukaiset pääsynvalvontamekanismit ja syötteen validointiparametrit.
Hyökkääjä loi ZetaChainissa haitallisen kutsun, joka generoi vilpillisen ketjujen välisen tapahtuman. ZetaChainin relayer-järjestelmä, joka on suunniteltu kuuntelemaan ja välittämään ketjujen välistä viestintää, poimi tapahtuman automaattisesti ja suoritti haitallisen kutsun kohdeketjussa. Tämä mahdollisti varojen kanavoimisen tiimin lompakoista.
ZetaChainin tiimi ilmoitti pysäyttäneensä kaiken ketjujen välisen toiminnan varotoimenpiteenä ja paikanneensa hyökkäysvektorin. CoinPedian mukaan tiimi vahvisti, ettei käyttäjien varoja vaarantunut ja että yksityiskohtainen post mortem -raportti julkaistaan myöhemmin. Ketjujen välinen toiminta pysyy keskeytettynä tutkimusten ajan.
"Hyökkäys kohdistui ZetaChainin GatewayEVM-sopimukseen ja vaikutti ainoastaan sisäisiin tiimilompakoihin. Olemme jo estäneet hyökkäysvektorin, eikä lisävaroja voida vaarantaa", protokollan kehittäjät totesivat U.Todayn raportoimassa lausunnossa.
Tapaus on erityisen huomionarvoinen, koska ZetaChain on yksi harvoista protokollista, jotka tarjoavat natiivia ketjujen välistä viestintää ilman perinteistä silta-arkkitehtuuria. Haavoittuvuuden sijainti juuri tässä ydintoiminnallisuudessa herättää kysymyksiä siitä, miten perusteellisesti cross-chain-protokollien kriittisimmät komponentit auditoidaan.
Scallop menetti 150 000 SUI vanhasta sopimusvirheestä
Samana päivänä Sui-lohkoketjun lainausprotokolla Scallop joutui erillisen hyökkäyksen kohteeksi. AMBCrypton mukaan hyökkääjä käytti hyväkseen vanhaa V2-sopimusta, jossa staking-toiminnon last_index-arvoa ei asetettu oikein. Järjestelmä laski palkkiot koko sopimuksen elinajalta todellisen staking-ajan sijaan.
Spool-indeksin kasvettua noin 1,19 miljardiin hyökkääjän 136 000 sSUI:n panos muuntui välittömästi noin 150 000 SUI:n palkkioksi, joka ohjautui yhteen lompakkoon. Scallopin tiimi jäädytti haavoittuneen sopimuksen ja ilmoitti korvaavansa käyttäjien tappiot kokonaisuudessaan.
Protokollan modulaarinen arkkitehtuuri rajoitti vahingot sivumoduuliin: ydinsopimukset säilyivät koskemattomina ja talletukset sekä nostot toimivat normaalisti. Scallopin TVL (Total Value Locked) pysyi noin 22,37 miljoonassa dollarissa, mikä viittaa siihen, ettei paniikkiluonteista varojen nostoa tapahtunut. AMBCrypton mukaan luottamuksen säilyminen riippuu kuitenkin siitä, pysyykö TVL vakaana tulevien viikkojen aikana vai alkavatko käyttäjät siirtää varojaan muualle.
DeFi-turvallisuuden systemaattinen ongelma
Kahden erillisen hyökkäyksen osuminen samalle päivälle alleviivaa DeFi-ekosysteemin laajempia turvallisuusongelmia. Kelp DAO:n 292 miljoonan dollarin hakkerointi on yhä tuoreessa muistissa, ja DeFi United -pelastusoperaatio on käynnissä varojen palauttamiseksi.
ZetaChainin tapaus paljasti puutteita pääsynvalvonnassa kriittisessä infrastruktuurikomponentissa. Scallopin hyökkäys taas osoitti, miten vanhentunut ja unohtunut koodi voi muodostaa piilevän riskin myös hyvin auditoiduissa protokollissa.
Molemmissa tapauksissa vahingot jäivät rajallisiksi nopean reagoinnin ansiosta, mutta tapaukset herättävät kysymyksen siitä, kuinka moni DeFi-protokolla kantaa vastaavia haavoittuvuuksia tietämättään. ZetaChainin tapauksessa ongelma oli puuttuva pääsynvalvonta uudessa sopimuksessa; Scallopilla puolestaan vanhentunut koodi, jota kukaan ei enää aktiivisesti valvonut. Molemmat skenaariot ovat tyypillisiä DeFi-ekosysteemissä, jossa protokollat kehittyvät nopeasti ja vanha koodi jää helposti auditointien ulkopuolelle.
Kryptosijoittajien kannalta viesti on selkeä: hajautetun rahoituksen tekninen riskiprofiili ei rajoitu markkinavaihteluihin, vaan älysopimusten turvallisuus on jatkuva ja systemaattinen haaste. Kelp DAO:n, ZetaChainin ja Scallopin tapaukset osoittavat, ettei mikään protokolla ole immuuni hyökkäyksille riippumatta sen koosta tai auditointihistoriasta.
