ゼータチェーンの複数チェーンにまたがるコントラクトが影響か
レイヤー1ブロックチェーン「ゼータチェーン(ZetaChain)」が、同ネットワークのゲートウェイEVM(GatewayEVM)コントラクトに対する攻撃を受けたと、公式Xアカウントで4月28日に発表した。
ゼータチェーンは、複数のブロックチェーンをまたぐアプリケーション開発を目的としたレイヤー1ブロックチェーンであり、異なるチェーン間の資産移動やデータの受け渡しを担うクロスチェーン取引が中核機能となっている。
またゲートウェイEVM(GatewayEVM)コントラクトは、接続されたEVMチェーンからゼータチェーン上のアプリケーションへのトークン転送やコントラクト呼び出しを処理するスマートコントラクト。クロスチェーン取引の入口にあたる機能だ。
今回の発表によると、この攻撃はゼータチェーンチームの内部ウォレットのみに影響しており、ユーザー資金への被害は確認されていないという。同プロジェクトはすでに攻撃経路を遮断しており、これ以上の資金流出は発生しないとしている。
今回の事案を受け、同ネットワークでは予防措置としてクロスチェーン取引を一時停止している。ステータスページでも、メインネットにおけるクロスチェーン取引が停止されていることが確認されている。なお本件の具体的な被害額や攻撃手法については現時点で詳細は公表されていない。
一方で、セキュリティ企業ブロックエイド(Blockaid)は、ゼータチェーンのクロスチェーンコントラクトに対するエクスプロイトが進行していた可能性を指摘している。同社は、XでゲートウェイEVMコントラクトに対するトークン承認(approval)の取り消しを呼びかけている。この点については、今回の攻撃手法についてはゼータチェーンから公表されてないものの既存の承認権限に関するリスクへの注意喚起とみられる。
また同社は、複数のEVM互換チェーンにまたがる影響アドレスを共有しており、攻撃対象が複数チェーン上のゲートウェイEVM関連コントラクトに及んでいた可能性がある。
今回の事案は、クロスチェーン取引の入口となるコントラクトが攻撃対象となった点で、チェーン間の資産移動を支える仕組みの安全性が改めて問われる事例といえる。
例えば、リステーキングトークン「rsETH」を巡るインシデントでは、クロスチェーンメッセージの検証に用いられるDVN(分散型検証ネットワーク)が単一構成(1-of-1)であったことが、不正なメッセージ成立の一因とされている。
また、ハイパーブリッジ(Hyperbridge)の事例では、証明検証ロジックの不備により偽の証明が受理されるケースも確認されており、クロスチェーンにおける検証や権限設計のあり方が重要な論点となっている。
本件の詳細な原因については、今後同プロジェクトから事後報告(ポストモーテム)が公表される見込みだ。
There was an attack against the ZetaChain GatewayEVM contract today that impacted the internal ZetaChain team wallets only. We’ve already blocked the attack vector so no more funds can be compromised and will be releasing a detailed post mortem after we have completed our…
— ZetaChain (@ZetaChain) April 27, 2026
Community Alert: Ongoing exploit on @ZetaChain cross-chain contracts!
— Blockaid (@blockaid_) April 27, 2026
Please revoke any approval for any ZetaChain GatewayEVM contract on all EVM chains.
画像:PIXTA