\n
El exploit del 24 de abril contra\u00a0ZetaChain<\/strong> <\/a>expuso unas tres vulnerabilidades encadenadas en su sistema de mensajer\u00eda cross-chain<\/strong> que le permiti\u00f3 al atacante extraer $333,868<\/strong> en activos de wallets internas del equipo. As\u00ed lo confirm\u00f3<\/strong> <\/a>la red de capa 1 en un post-mortem.<\/p>\n El vector de ataque involucr\u00f3 al contrato GatewayEVM<\/strong>, que act\u00faa como punto de entrada unificado para las interacciones entre redes externas y las aplicaciones de ZetaChain<\/strong>. Seg\u00fan el informe, el sistema permit\u00eda que cualquier usuario solicitara \u00abarbitrary calls<\/strong>\u00bb con restricciones m\u00ednimas, mientras que el contrato receptor aceptaba comandos como \u00abtransferFrom<\/strong>\u00bb sin validaciones suficientes<\/strong>.<\/p>\n A esto tambi\u00e9n se sum\u00f3 que usuarios que hab\u00edan depositado tokens mediante \u00abGatewayEVM.deposit()<\/strong>\u00bb nunca revocaron las aprobaciones ilimitadas de gasto que hab\u00edan otorgado. El atacante combin\u00f3 estas tres condiciones<\/strong>\u00a0para vaciar los fondos en nueve transacciones distribuidas sobre Ethereum, Arbitrum, Base<\/a> y BSC<\/strong>, las p\u00e9rdidas estuveiron compuestas principalmente por USDC y USDT.<\/p>\n El equipo de ZetaChain fue categ\u00f3rico al descartar que se trat\u00f3 de un ataque oportunista. Seg\u00fan el post-mortem, el atacante financi\u00f3 su wallet a trav\u00e9s de Tornado Cash<\/a><\/strong> aproximadamente tres d\u00edas antes de ejecutar el exploit, con el objetivo expl\u00edcito de enmascarar el origen de los fondos<\/strong>. Adicionalmente, lanz\u00f3 un ataque de fuerza bruta<\/strong> para generar una direcci\u00f3n vanity que imitaba la de una de las v\u00edctimas, una t\u00e9cnica de envenenamiento de direcciones<\/strong> dise\u00f1ada para ofuscar la actividad maliciosa on-chain. Una vez consumado el exploit, el atacante convirti\u00f3 r\u00e1pidamente los USDC y USDT sustra\u00eddos en ETH.<\/strong><\/p>\n ZetaChain\u00a0lanz\u00f3 un parche\u00a0en la mainnet para eliminar la vulnerabilidad<\/strong>. La funcionalidad de transacciones cross-chain, suspendida de inmediato tras el incidente, permanece inactiva hasta que se completen actualizaciones y revisiones adicionales<\/strong>. El equipo recomend\u00f3 a todos los usuarios que hayan interactuado con los contratos gateway revocar los permisos ERC-20<\/strong> pendientes otorgados a esas direcciones.<\/p>\n","protected":false},"excerpt":{"rendered":" Puntos clave de la noticia: ZetaChain identific\u00f3 tres vulnerabilidades en su sistema de mensajer\u00eda cross-chain que permitieron al atacante drenar $333,868. Las p\u00e9rdidas, distribuidas en nueve transacciones sobre cuatro redes, afectaron solo wallets internas del equipo y no a los fondos de usuarios. El exploit fue premeditado: el atacante us\u00f3 Tornado Cash tres d\u00edas antes … <\/p>\n![\"zetachain](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/04\/tweet-zetachain.jpg\")
<\/a><\/p>\nUn Ataque PLanificado con Semanas de Anticipaci\u00f3n<\/h2>\n
![\"ZetaChain\"](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2025\/03\/zetachain.png\")
<\/p>\nZetaChain Lanza un Parche de Emergencia<\/h3>\n