forklog.com
27 апреля хакер воспользовался уязвимостью в контракте GatewayEVM блокчейна первого уровня ZetaChain. Инцидент затронул только внутренние кошельки команды, заявили разработчики.
There was an attack against the ZetaChain GatewayEVM contract today that impacted the internal ZetaChain team wallets only. We've already blocked the attack vector so no more funds can be compromised and will be releasing a detailed post mortem after we have completed our…
— ZetaChain 🟩 (@ZetaChain) April 27, 2026
Пользовательские средства не пострадали. После обнаружения атаки проекту удалось предотвратить дальнейшую компрометацию активов, приостановив кроссчейн-транзакции.
DefiLlama оценила ущерб в $300 000. Команда ZetaChain не раскрыла точную сумму, но пообещала опубликовать подробный отчет в ближайшее время.
Предварительный анализ SlowMist указал на уязвимость в функции call контракта GatewayZEVM. Она лишена контроля доступа и валидации входных данных — это позволяет любому пользователю запускать вредоносные межсетевые вызовы.
🚨. @ZetaChain has been exploited. Based on initial analysis, the following outlines the root cause.
— SlowMist (@SlowMist_Team) April 28, 2026
Root Cause
The core vulnerability lies in the call function of ZetaChain's GatewayZEVM contract, which lacks both access control and input validation. This allows any arbitrary… https://t.co/U63DKIfgDZ pic.twitter.com/WbAHdiciRc
Ретранслятор подхватывал эти вызовы и исполнял их в целевых сетях, что позволяло злоумышленнику выводить средства.
На фоне инцидента цена токена $ZETA снизилась на 0,6% — до $0,05.
Волна взломов
Параллельно хакерской атаке подвергся проект Singularity Finance в сети Base, обратил внимание специалист по кибербезопасности под псевдонимом Arsen.
🚨 $413K drained from Singularity Finance.
— Arsen (@arsen_bt) April 27, 2026
Admin set unsupported oracle fee tier, and every pool returned address(0).
Attacker flash-loaned 100k $USDC, minted 99.99% of supply, redeemed for real balances. pic.twitter.com/gnM5eOvQKh
Администратор платформы ошибся в настройках, указав недопустимую комиссию для оракулов, чем воспользовался хакер. Злоумышленник взял в кредит 100 000 $USDC на Morpho, внес их в хранилище, получил все токены (99,99%) по неправильному курсу и забрал реальные средства.
Ущерб составил $413 000. На момент публикации команда Singularity не прокомментировала инцидент.
Курс монеты SFI опустился на 0,3% — до $0,005, согласно CoinGecko.
Напомним, 26 апреля хакеры атаковали DeFi-протокол Scallop и вывели из пула вознаграждений sSUI около 150 000 SUI. За несколько дней до этого злоумышленники скомпрометировали платформу Volo.
Безопасных мест в DeFi не осталось? Чему учит кейс Aave и Kelp