Analisis Awal SlowMist

Tim dari SlowMist menemukan bahwa titik awal serangan berasal dari fungsi call pada kontrak GatewayZEVM.

Fungsi ini memiliki dua kelemahan utama:

• Tidak ada kontrol akses
• Tidak ada validasi input

Kombinasi ini memungkinkan siapa pun dari luar, tanpa izin, untuk menjalankan panggilan lintas jaringan (cross-chain) yang berbahaya dan mengarahkannya ke target mana pun. Temuan ini juga dikonfirmasi oleh Wu Blockchain.

Pihak Zetachain menyatakan bahwa eksploit ini hanya berdampak pada dompet internal tim mereka, dengan estimasi kerugian sekitar $300.000. Dana pengguna tidak terdampak secara langsung.

Sebagai langkah pencegahan, Zetachain menghentikan sementara transaksi lintas jaringan sambil tim keamanan melakukan evaluasi menyeluruh. Laporan lengkap (post-mortem) akan dirilis setelah investigasi selesai.

Selain itu, insiden ini terjadi di tengah situasi sulit untuk infrastruktur cross-chain. Sebelumnya, eksploit pada KelpDAO memicu gelombang penarikan likuiditas besar-besaran di berbagai protokol decentralized finance (DeFi), yang menjadi krisis terburuk sejak 2024.

Sebagai respons darurat, Arbitrum Security Council membekukan 30.766 ETH yang terkait dengan pelaku eksploit tersebut.

Masalah Utama: Kontrol Akses

Temuan SlowMist kembali menyoroti pola yang sering terjadi dalam eksploit smart contract, yaitu lemahnya atau tidak adanya kontrol akses pada fungsi yang menangani operasi sensitif.

Dalam kasus Zetachain:

• Fungsi call di GatewayZEVM bisa dipanggil oleh siapa saja
• Tidak ada pengecekan izin sama sekali
• Sistem menganggap semua input sebagai valid

Hal ini membuka celah bagi penyerang untuk menjalankan instruksi berbahaya seolah-olah itu adalah perintah yang sah.

Risiko Bertambah Karena Tidak Ada Validasi Input

Ketiadaan validasi input memperparah situasi. Tanpa proses pengecekan data yang masuk, penyerang dapat membuat malicious payload (data berbahaya) dan mengarahkannya ke tujuan yang tidak semestinya di berbagai jaringan.

Dengan kata lain, batas kepercayaan dalam logika kontrak bisa dilewati begitu saja karena sistem tidak memverifikasi isi data yang diproses.

Kerentanan yang Sering Terjadi

Para peneliti keamanan telah lama menyoroti bahwa kurangnya kontrol akses adalah salah satu celah paling umum dalam smart contract—dan sebenarnya termasuk yang paling mudah dicegah.

Namun, kasus seperti ini masih terus terjadi, menunjukkan bahwa praktik keamanan dasar belum selalu diterapkan secara konsisten dalam pengembangan proyek kripto.

Status Audit Masih Belum Jelas

Hingga saat ini, belum ada informasi apakah kontrak GatewayZEVM milik Zetachain telah melalui audit keamanan dari pihak ketiga sebelum diluncurkan.

Padahal, audit eksternal merupakan langkah penting untuk mengidentifikasi potensi celah sebelum kontrak digunakan secara luas di ekosistem blockchain.