ZetaChain: Reddedilen bug raporu 334.000$'lık açığı önleyebilirdi

ZetaChain, ağın GatewayEVM isimli çapraz zincir geçidinde ortaya çıkan bir güvenlik açığının ardından yaklaşık 333.868 ABD doları tutarında fon kaybı yaşandığını açıkladı. Şirket saldırının yalnızca üç iç ekip cüzdanını hedef aldığını, kullanıcı varlıklarının etkilenmediğini bildirdi.

Olay, saldırganın GatewayEVM’in “arbitrary call” (keyfi çağrı) mekanizmasındaki eksik erişim kontrollerini zincirleme biçimde kullanmasıyla gelişti; çalınan varlıklar Ethereum, Arbitrum, Base ve BNB Smart Chain üzerinde dokuz işlemle çekildi. ZetaChain’in teknik incelemesine göre saldırgan, Tornado Cash üzerinden fon sağlayarak hazırlık yaptı ve adres zehirleme (address poisoning) gibi taktiklerle işlem geçmişini manipüle etmeye çalıştı. Raporlar ayrıca daha önce aynı zafiyeti işaret eden bug bounty bildirimlerinin ekib tarafından “kasıtlı/beklenen davranış” olarak değerlendirildiğini belirtiyor.

Ekip, saldırı tespit edilir edilmez çapraz zincir transferlerini durdurdu ve açığın kullanıldığı çağrı yolunu kapatarak daha fazla kaybın önüne geçti; ana ağda yama dağıtıldı ve kullanıcıların eski ERC‑20 onaylarını (allowance) iptal etmeleri tavsiye edildi. Tehdit analizleri ve güvenlik firmalarının uyarıları, benzer Gateway/bridge tasarımlarının hâlâ yüksek risk taşıdığına işaret ediyor.

Bu gelişme, Nisan 2026’de köprü ve çapraz zincir altyapılarına yönelik birkaç büyük güvenlik olayının devamı niteliğinde; risk primleri bu altyapı tokenlarında ve ilgili DeFi projelerinde yükselme eğiliminde. Sektör gözlemcileri, benzer mimarilerde üçüncü taraf ve on-chain izinlerin sıkılaştırılmasının gerekliliğine dikkat çekiyor. ZetaChain’in olayı halka açık şekilde inceleyip yama yayımlaması, kısa vadede operasyonel güveni kısmen korusa da itibar maliyeti ve regülatif sorgulamalar gündeme gelebilir.

Analistler, ZetaChain için önceliğin kapsamlı bir olay sonrası inceleme (post‑mortem) yayımlamak, bağımsız denetimler yapmak ve bug bounty süreçlerini yeniden düzenlemek olduğunu söylüyor. Piyasa tarafında ise ZETA tokenı üzerindeki volatilite ve kaldıraçlı pozisyon riskleri takip edilecek; yatırımcıların cross‑chain işlemler yeniden açılana kadar temkinli davranmaları ve eski onayları iptal etmeleri bekleniyor. Olayın soruşturulması ve olası telafi adımları, projenin uzun vadeli toparlanmasını belirleyecek.