Только что услышал о еще одной крипто-взломе, который активно обсуждается в кругах безопасности. ZetaChain, цепочка совместимая с Cosmos, подверглась атаке злоумышленников, использовавших связанный с командой кошельки. Команда быстро приняла меры и отключила межцепочные сервисы на более чем 15 часов, чтобы предотвратить каскадные потери, что, честно говоря, правильное решение в таких ситуациях.

Интересное в этом случае то, насколько точечным был удар. Уязвимость находилась в контракте GatewayZEVM — по сути, мостовом контракте, который не имел должного контроля доступа. Злоумышленники смогли создать вредоносные межцепочные вызовы без достаточной поддержки, обманув релеер, чтобы он отправил реальные средства на целевую цепочку. Классическая схема эксплуатации мостов. Хорошая новость в том, что они обнаружили это рано, и пострадал только USDC, убытки остались менее чем на $10 тысяч. Ни пользовательские средства, ни командные кошельки не пострадали.

Но что меня особенно зацепило — это тот факт, что такие новости о крипто-взломах продолжают повторяться, потому что уязвимости все еще присутствуют на множестве цепочек. ZetaChain находится в экосистеме Cosmos, продвигая безразрешительную межцепочную совместимость, но сеть фактически мертва. Там всего несколько цифр ежедневных пользователей и всего $8 сборов в день. После октябрьской коррекции рынка прошлого года у них осталось менее $1M в DeFi-контрактах. И все равно на них нацеливаются.

Злоумышленник, вероятно, использовал это как тестовую проверку. Проверял, есть ли такие же уязвимости в аналогичных мостовых контрактах на других цепочках Cosmos. Вот что делает эти новости о крипто-взломах важными — это не только про ZetaChain, это сигнал, что каждая цепочка с мостовой инфраструктурой находится в прицеле.

Интересно, что токен ZETA практически не отреагировал. Он сильно просел с момента запуска, снизившись более чем на 96%, так что этот взлом фактически не изменил ситуацию. Токен даже не был целью — злоумышленники сразу пошли по мостовому контракту и межцепочным средствам. В более широком плане DeFi, апрель был крайне тяжелым. Мы говорим о более чем $624M в общих убытках от взломов и эксплойтов только за тот месяц, что является рекордом с февраля 2025 года. Взлом протокола Drift запустил цепочку событий, и затем ворота открылись.

Вся эта схема показывает, почему аудит безопасности и правильный контроль доступа уже не опциональны. Каждый смарт-контракт — это цель, независимо от того, на какой цепочке он находится или насколько он мал. Планка для безопасности Web3 продолжает расти, а цена ошибки — реальна. Текущая цена ZETA около $0.06, но это почти не важно, когда настоящая проблема в том, могут ли эти протоколы действительно доверять в межцепочных операциях.