ZetaChain призупинив кросчейн-операції після атаки на смартконтракт

27 квітня хакер скористався вразливістю в контракті GatewayEVM блокчейна першого рівня ZetaChain. Інцидент зачепив лише внутрішні гаманці команди, заявили розробники.

Сьогодні було здійснено атаку на контракт GatewayEVM ZetaChain, яка зачепила лише внутрішні гаманці команди ZetaChain. Ми вже заблокували вектор атаки, тож більше коштів скомпрометовано не буде, і опублікуємо детальний звіт після того, як завершимо наші…

— ZetaChain 🟩 (@ZetaChain) April 27, 2026

Кошти користувачів не постраждали. Після виявлення атаки команді вдалося запобігти подальшій компрометації активів, призупинивши кросчейн-транзакції.

В DefiLlama оцінили збитки у $300 000. Команда ZetaChain не розкрила точну суму, але пообіцяла невдовзі оприлюднити докладний звіт.

Попередній аналіз SlowMist вказав на вразливість у функції call-контракту GatewayZEVM. Вона позбавлена контролю доступу та валідації вхідних даних — це дозволяє будь-якому користувачу запускати шкідливі міжмережеві виклики.

🚨. @ZetaChain зазнав експлойту. На основі початкового аналізу нижче викладено першопричину.

Першопричина
Основна вразливість полягає у функції call контракту GatewayZEVM ZetaChain, яка позбавлена як контролю доступу, так і валідації вхідних даних. Це дозволяє будь-які довільні… https://t.co/U63DKIfgDZ pic.twitter.com/WbAHdiciRc

— SlowMist (@SlowMist_Team) April 28, 2026

Ретранслятор підхоплював ці виклики та виконував їх у цільових мережах, що дозволяло зловмиснику виводити кошти.

На тлі інциденту ціна токена ZETA знизилася на 0,6% — до $0,05.

Хвиля зламів

Паралельно атаці було зламано проєкт Singularity Finance у мережі Base, звернув увагу фахівець із кібербезпеки під псевдонімом Arsen.

🚨 $413K drained from Singularity Finance.

Admin set unsupported oracle fee tier, and every pool returned address(0).

Attacker flash-loaned 100k USDC, minted 99.99% of supply, redeemed for real balances. pic.twitter.com/gnM5eOvQKh

— Arsen (@arsen_bt) April 27, 2026

Адміністратор платформи помилився в налаштуваннях, вказавши неприпустиму комісію для оракулів, чим скористався хакер. Зловмисник позичив 100 000 USDC на Morpho, вніс їх у сховище, отримав усі токени (99,99%) за некоректним курсом і забрав реальні кошти.

Збитки склали $413 000. На момент публікації команда Singularity інцидент не прокоментувала.

Курс монети SFI просів на 0,3% — до $0,005, за даними CoinGecko.

Нагадаємо, 26 квітня хакери атакували DeFi-протокол Scallop і вивели з пулу винагород sSUI близько 150 000 SUI. За кілька днів до цього зловмисники скомпрометували платформу Volo.