ZetaChain pysäyttää toiminnan hyökkäyksen jälkeen — Scallop hakkeroitu Sui-ketjussa

Kuinka monta DeFi-protokollaa voidaan hakkeroida samana päivänä ennen kuin ekosysteemi pysähtyy arvioimaan turvallisuuden tilaa? Maanantaina vastaus oli vähintään kaksi.

ZetaChain ja Scallop joutuivat molemmat hyökkäyksen kohteeksi 28. huhtikuuta.

Tapaukset eivät liity toisiinsa teknisesti, mutta yhdessä ne piirtävät tuttua kuvaa: hajautetun rahoituksen turvallisuusongelmat eivät ole yksittäistapauksia vaan rakenteellinen haaste.

ZetaChainin pääsynvalvonta petti

Ketjujen väliseen yhteentoimivuuteen keskittyvä ZetaChain joutui hyökkäyksen kohteeksi, kun sen GatewayZEVM-sopimuksesta löytyi kriittinen puute.

Tietoturvayhtiö SlowMist analysoi tilanteen ja totesi, että sopimuksen call-funktiosta puuttuivat pääsynvalvontamekanismit ja syötteen validointiparametrit.

Hyökkääjä loi haitallisen kutsun, jonka ZetaChainin relayer-järjestelmä poimi automaattisesti.

Relayer on suunniteltu kuuntelemaan ja välittämään ketjujen välistä viestintää — juuri tätä ominaisuutta hyökkääjä käytti hyväkseen. Varoja ohjattiin tiimin lompakoista.

ZetaChainin kehittäjät reagoivat pysäyttämällä kaiken ketjujen välisen toiminnan.

– Hyökkäys kohdistui GatewayEVM-sopimukseen ja vaikutti ainoastaan sisäisiin tiimilompakoihin. Olemme jo estäneet hyökkäysvektorin, eikä lisävaroja voida vaarantaa, ZetaChainin kehitystiimi totesi U.Todayn raportoimassa lausunnossa.

Tiimi vahvisti CoinPedialle, ettei käyttäjien varoja vaarantunut.

Post mortem -raportti julkaistaan myöhemmin. Ketjujen välinen toiminta pysyy toistaiseksi keskeytettynä.

Tapaus on varsin huolestuttava siksi, että ZetaChain on yksi harvoista protokollista, jotka tarjoavat natiivia ketjujen välistä viestintää ilman perinteistä silta-arkkitehtuuria.

Haavoittuvuus löytyi juuri tästä ydintoiminnallisuudesta.

Scallop ja unohtunut vanha sopimus

Samana päivänä Sui-lohkoketjun lainausprotokolla Scallop menetti 150 000 SUI-tokenia.

Syynä oli vanha koodi.

Hyökkääjä käytti hyväkseen vanhentunutta V2-sopimusta, jossa staking-toiminnon last_index-arvoa ei oltu asetettu oikein. AMBCrypto raportoi, että järjestelmä laski palkkiot koko sopimuksen elinajalta todellisen staking-ajan sijaan.

Spool-indeksin kasvettua noin 1,19 miljardiin hyökkääjän 136 000 sSUI:n panos muuntui välittömästi noin 150 000 SUI:n palkkioksi. Kaikki varat ohjautuivat yhteen lompakkoon.

Scallopin tiimi jäädytti haavoittuneen sopimuksen ja ilmoitti korvaavansa käyttäjien tappiot kokonaisuudessaan.

Protokollan modulaarinen arkkitehtuuri rajoitti vahingot sivumoduuliin — ydinsopimukset säilyivät koskemattomina ja talletukset toimivat normaalisti.

Scallopin TVL pysyi noin 22,37 miljoonassa dollarissa.

Paniikkiluonteista varojen nostoa ei siis tapahtunut — ainakaan vielä. Luottamuksen säilyminen riippuu pitkälti siitä, pysyykö TVL vakaana tulevien viikkojen aikana.

Reagointikyky paranee, mutta riittääkö se?

Molemmat tiimit toimivat nopeasti.

ZetaChain pysäytti toiminnan ja paikansi hyökkäysvektorin tuntien sisällä. Scallop eristäytyi sivumoduuliin ja lupasi täydet korvaukset kaikille kärsineille käyttäjille.

Kelp DAO:n 292 miljoonan dollarin hakkerointi on kuitenkin yhä tuoreessa muistissa. Pelkkä huhtikuu on tuonut kolme erillistä ketjujen välisiin sopimuksiin kohdistunutta hyökkäystä, ja DeFi United -pelastuskoalitio kerää edelleen varoja.

Konteksti on oikeastaan selkeä: DeFi-ekosysteemi on oppinut reagoimaan kriiseihin nopeammin, mutta uusia haavoittuvuuksia paljastuu jatkuvasti.

ZetaChainin ongelma oli puuttuva pääsynvalvonta uudessa sopimuksessa.

Scallopin kohdalla syyllinen oli vanha koodi, jota kukaan ei enää valvonut. Molemmat skenaariot ovat todella tyypillisiä ekosysteemissä, jossa kehitys on nopeaa ja vanha koodi jää helposti auditointien ulkopuolelle.

Vahingot jäivät tällä kertaa rajallisiksi. Mutta kuinka moni protokolla kantaa vastaavia piileviä haavoittuvuuksia tietämättään?