-
ZetaChain afirma que no hubo fondos de usuarios afectados, pero la investigación sigue en curso.
-
SolanaFloor estima pérdidas de USD 300.000, cifra que ZetaChain no ha confirmado oficialmente.
ZetaChain, una red de capa 1 (L1) diseñada para conectar múltiples cadenas sin puentes, confirmó el 27 de abril que sufrió un ataque contra su contrato ‘GatewayZEVM’. Según el comunicado del equipo, solo wallets internas de la empresa fueron afectadas y no hubo fondos de usuarios comprometidos.
El monto robado no fue confirmado por ZetaChain, pero desde SolanaFloor, un sitio de análisis on-chain, estimaron pérdidas de aproximadamente USD 300.000.
Como medida de precaución, el equipo de ZetaChain pausó todas las transacciones entre cadenas. También afirmaron haber bloqueado el vector de ataque, aunque la investigación sigue en curso y el equipo prometió un reporte detallado al concluirla.
La firma de seguridad SlowMist identificó que la función «call» del contrato ‘GatewayZEVM’ (el componente que gestiona las instrucciones entre cadenas) carecía de dos controles básicos: verificación de quién puede ejecutarla y validación de qué datos puede recibir. Esa ausencia permitía a cualquier usuario, sin ningún permiso especial, enviar instrucciones arbitrarias a otras redes a través del sistema de ZetaChain.
El atacante, de acuerdo con SlowMist, construyó una llamada maliciosa dentro de ZetaChain que generó un evento entre cadenas. El sistema de retransmisión de la red (el mecanismo que detecta esos eventos y los ejecuta en la cadena de destino) lo procesó como si fuera una instrucción legítima y transfirió los fondos al atacante.
No hubo necesidad de comprometer claves privadas ni de acceder a sistemas internos, ya que la vulnerabilidad estaba en el contrato abierto a cualquier usuario, concluyó el equipo de SlowMist.
Un episodio más en el historial de DeFi
El ataque a ZetaChain ocurre en un contexto de vulnerabilidades recurrentes en el ecosistema de las finanzas descentralizadas (DeFi). Como puntualizó KriptoNoticias en su editorial del 26 de abril, en apenas cuatro meses de 2026 el monto robado en protocolos DeFi casi igualó al total de 2025, con un nuevo hackeo registrado cada dos días en lo que va del mes de abril.
Entre ellos destacan el exploit de Kelp DAO por USD 292 millones desencadenó una corrida en Aave que bloqueó retiros de miles de usuarios, que llevó al Consejo de Seguridad de Arbitrum a congelar, por decreto, fondos del atacante, exponiendo los mecanismos de control centralizado que operan bajo la promesa de descentralización.
El caso de ZetaChain repite el patrón: un contrato con permisos mal configurados, fondos drenados en minutos y una red pausada mientras el equipo evalúa el daño.
