تجاهل تحذير برنامج مكافآت الأخطاء يؤدي إلى استغلال عبر السلاسل بقيمة 334 ألف دولار في ZetaChain
فقدت ZetaChain مبلغ 334 ألف دولار في استغلال عبر شبكات البلوكشين. تم الإبلاغ عن المشكلة مسبقًا في برنامج مكافآت الأخطاء ولكن تم استبعادها باعتبارها سلوكًا متوقعًا، مما أثار مخاوف أمنية في مجال التمويل اللامركزي (DeFi).
وفقًا للإفصاحات والمناقشات اللاحقة للحادثة في المجتمع، تم اكتشاف استغلال كلف ZetaChain في النهاية 334,000 دولار في وقت سابق، من خلال برنامج مكافآت الأخطاء الخاص بالمشروع، ولكنه اعتُبر خللاً تصميميًا متوقعًا.
لقد أثارت الثغرة الأمنية، التي تم العثور عليها في عقد بوابة السلاسل المتقاطعة لـ ZetaChain، مخاوف جديدة بشأن كيفية اختبار بروتوكولات الويب 3 للتنبيهات الأمنية والتصرف بناءً على إشارات مبكرة قد تبدو غير مهمة في حد ذاتها.
تم الإبلاغ عن ثغرة ولكن لم يتم اتخاذ إجراء
قال فريق ZetaChain في تحليله اللاحق للواقعة يوم الأربعاء إن نقطة الضعف التي تم استغلالها في الهجوم قد تم الإبلاغ عنها من قبل باحث أمني قبل الهجوم. لكنها لم تُعتبر ثغرة أمنية في السابق لأن المطور اعتقد أنها سلوك مقصود للنظام.
وقد أشار النظام الآن إلى أن هذا الحدث قد بدأ عملية داخل المنظمة لإعادة تقييم الأسلوب الذي تُبلغ به الحوادث من حيث الأمن، خاصةً فيما يتعلق بأنواع أكثر تعقيدًا من الثغرات الأمنية وسلاسل الاستغلال متعددة الخطوات.
قد تبدو كل من أنواع الثغرات الأمنية الفردية غير ضارة بمفردها، ولكن يمكن استخدامها بشكل جماعي جنبًا إلى جنب مع سلوكيات النظام الأخرى وتفاعلات السلاسل المتقاطعة.
سرقة 334,000 دولار موزعة على عدة سلاسل
يوم الأحد، شن المهاجمون هجومًا استغلاليًا متزامنًا سرق حوالي 334,000 دولار من محافظ تحت سيطرة ZetaChain. ركز الهجوم على البنية التحتية لبوابة السلاسل المتقاطعة للبروتوكول.
بناءً على التقارير، يُعتقد أن الاستغلال تم عبر تسع معاملات من خلال أربع شبكات رئيسية (الشبكات غير محددة):
إيثيريوم (Ethereum)
أربيتروم (Arbitrum)
بيز (Base)
بي إن بي سمارت تشين (BNB Smart Chain)
وقد أوضح هذا الحدث أيضًا أن جميع أموال المستخدمين لم تتأثر. واقتصرت الخسارة على الأصول الخاضعة لسيطرة البروتوكول.
رد فعل مجتمعي عنيف على تحذير تم تجاهله
فور الإعلان تقريبًا، تصاعدت موجة من النقاش عبر وسائل التواصل الاجتماعي تنتقد حالة برامج مكافآت الثغرات في عالم التمويل اللامركزي (DeFi).
صرح أحد الأفراد على منصة X بأن التقرير قد تم تقديمه مبكرًا وتم تجاهله، حيث أن آليات التحفيز في بروتوكولات معينة تؤدي حاليًا إلى تجاهل التحذيرات المبكرة عن المخالفات.
أضاف المستخدم أن:
هذه هي الطريقة التي تعمل بها برامج مكافآت الثغرات لهذه البروتوكولات في الوقت الحالي؛ فهي تكافئ الخسارة التي تلحق بالبروتوكول، وإجمالي القيمة المحتجزة، ورصيد المستخدم، بدلاً من الدفع للباحث الذي وجد الثغرة وأصلحها.
بالطبع، تعكس هذه الأنواع من التعليقات مجتمعات محبطة. كما أنها توضح توترًا مهمًا في العديد من نماذج الأمان في الويب 3: سواء كان القلق يتعلق بمخاطر نظرية أو ثغرة أمنية حقيقية.
مشكلة الثغرات "الصحيحة ولكن المهملة"
كما يوضح حادث ZetaChain، هذه مشكلة متأصلة في أنظمة أمان البلوكتشين. فمعظم عمليات الاستغلال لا تعود إلى أخطاء غير مرئية، بل إلى حالات استثنائية غير متوقعة يتم تجاهلها أو التغاضي عنها أثناء المراجعة.
أحد المواضيع المشتركة في تقارير باحثي الأمن هو أن الهجوم يتطلب افتراضات متعددة أو شروطًا متسلسلة لتكون صحيحة. وبينما يميل المطورون إلى وصفها بأنها غير ممكنة، فإن بقية العالم يفعل ذلك أحيانًا.
يخلق هذا منطقة رمادية حيث:
مطوروا معدات الشبكة لا يعتبرون الإيجابيات الكاذبة ورد الفعل المبالغ فيه خاصية مرغوبة.
يكافح الباحثون لتحديد أسوأ مجموعات الحالات.
يستهدف المهاجمون الفرق بين التفسيرين.
وفقًا لـ ZetaChain، ستتغير عملية المراجعة:
عقب الاستغلال، أعلنت ZetaChain أنها ستراجع عملياتها المتعلقة بتقديم مكافآت الثغرات بشكل خاص، إذا كانت تتضمن ثغرات متعددة الخطوات أو عبر الأنظمة.
من المتوقع أن يشمل تركيز المراجعة ما يلي:
تصنيف أكثر دقة لمسارات الهجوم المتسلسلة.
إجراءات تصعيد أفضل للتقارير غير الحاسمة.
تحسين التواصل والتعاون بين المطورين وباحثي الأمن.
إتاحة إعادة التقييم الأسرع للمشكلات المرفوضة سابقًا.
على الرغم من عدم تفصيل أي تعديلات هيكلية فورية بشكل شامل، إلا أن الإجراء اعترف بأنه لم يأخذ في الاعتبار بشكل كافٍ المخاطر التي تشكلها الثغرة الأمنية المفصح عنها.
آثار أوسع على أمان التمويل اللامركزي (DeFi)
هذه إضافة أخرى إلى قائمة عمليات الاستغلال في التمويل اللامركزي حيث تم تجاهل التحذيرات إلى حد كبير أو لم تؤخذ على محمل الجد. كما أنها تدعو إلى التفكير فيما إذا كانت أطر عمل برامج مكافآت الثغرات الحالية كافية لبروتوكولات السلاسل المتقاطعة.
نظرًا لأن البروتوكولات تمتد عبر شبكات متعددة وتستخدم بنية تحتية قابلة للتركيب بشكل أكبر، فمن الصعب تقييم أمنها بمعزل عن غيرها. وقد يؤدي تفاعل واحد مفقود أحيانًا إلى تأثيرات متتالية على سلاسل متعددة، كما في هذا المثال.
في الوقت الحالي، يذكرنا استغلال ZetaChain مرة أخرى أنه في أمان البلوكتشين، يمكن أن يكون الفارق بين خطأ نظري واستغلال فعلي مجرد ثوانٍ، ومدى براعة المتسلل.
