Щойно почув про ще один криптовалютний хак, який шириться у колах безпеки. ZetaChain, L1-ланцюг, сумісний із Cosmos, зазнав атаки з боку зловмисників, які експлуатували гаманці, пов’язані з командою. Команда швидко прийняла рішення припинити міжланцюгові послуги більш ніж на 15 годин, щоб запобігти каскадним втратам, що чесно кажучи, є правильним кроком у таких ситуаціях.

Що цікаво в цій ситуації, так це наскільки точковою була атака. Уразливість знаходилася у контракті GatewayZEVM — по суті, мостовому контракті, який не мав належного контролю доступу. Зловмисники змогли створити зловмисні міжланцюгові виклики без достатньої підтримки, обманюючи релейра, щоб той надіслав реальні кошти на цільовий ланцюг. Класична схема експлуатації мостів. Хороша новина в тому, що вони виявили це рано, і постраждав лише USDC, збитки залишилися менше ніж $10 тис. Жодних коштів користувачів не торкнулися, лише гаманці команди.

Однак мене більше зацікавило ось що — це той тип новин про криптохакі, що повторюються, бо уразливості досі залишаються на багатьох ланцюгах. ZetaChain знаходиться в екосистемі Cosmos і прагне до безперешкодної міжланцюгової сумісності, але мережа фактично мертва. Ми говоримо про кількість щоденних користувачів у однозначних числах і всього $8 зборів на день. Після корекції ринку в жовтні минулого року вони тримають менше $1M у DeFi-контрактах. І все ж їх цільовий об’єкт атак.

Зловмисник, ймовірно, використовував це як пробний запуск. Перевіряв, чи мають подібні мостові контракти на інших ланцюгах Cosmos ті самі сліпі зони. Саме тому ця новина про криптохакі варта уваги — це не лише про ZetaChain, а сигнал, що кожен ланцюг із мостовою інфраструктурою у зоні ризику.

Цікаво, що токен ZETA майже не рухався. Він знищений з моменту запуску, знизився більш ніж на 96%, тому цей хак фактично не змінив ситуацію. Токен навіть не був ціллю — зловмисники пішли прямо до мостового контракту та міжланцюгових коштів. Що стосується ширшого фронту DeFi, то квітень був надзвичайно жорстким. Ми говоримо про понад $624M у загальних збитках від хаків і експлойтів лише за цей місяць, найвищий з лютого 2025 року. Хак протоколу Drift розпочав цю хвилю, а потім відкрилися шлюзи.

Ця вся модель показує, чому аудити безпеки та належний контроль доступу вже не є опціоном. Кожен смарт-контракт — ціль, незалежно від того, чи він на великому ланцюгу, чи на меншому проекті. Вимоги до безпеки Web3 постійно зростають, і ціна помилки реальна. Поточна ціна ZETA близько $0.06, але це майже не має значення, коли справжня проблема — чи можна довіряти цим протоколам у міжланцюгових операціях.