Advertencia de Bug Bounty Ignorada Conduce a Explotación Cross Chain de $334K en ZetaChain
ZetaChain perdió $334K en una explotación de cadena cruzada. El problema fue identificado anteriormente en su programa de recompensas por errores, pero fue descartado como un comportamiento esperado, lo que genera preocupaciones de seguridad en DeFi.
Según las revelaciones e informes post-incidente en la comunidad, un exploit que finalmente le costó a ZetaChain $334,000 fue descubierto anteriormente por el propio programa de recompensas por errores del proyecto, pero fue considerado como un comportamiento predeterminado de diseño esperado.
El agujero de seguridad, encontrado en el contrato de pasarela entre cadenas de ZetaChain, ha generado nuevas ansiedades sobre cómo los protocolos Web3 prueban las alertas de seguridad y actúan ante señales tempranas que, por sí solas, podrían parecer sin importancia.
El Informe de Recompensa por Errores Fue Marcado Pero No Procesado
El equipo de ZetaChain dijo en su análisis post-mortem del miércoles que la debilidad explotada en el ataque había sido reportada por un investigador de seguridad antes del ataque. Sin embargo, no fue considerada como un error en ese momento porque el desarrollador pensó que era un comportamiento intencional del sistema.
El sistema ha indicado ahora que el evento ha iniciado un proceso dentro de la organización para reevaluar la técnica sobre cómo se informan los incidentes en términos de seguridad, en particular cuando se trata de tipos más complejos de vulnerabilidades y cadenas de exploits de múltiples pasos.
Cada uno de los tipos individuales de vulnerabilidades puede parecer inofensivo por sí solo, pero pueden ser utilizados colectivamente junto con otros comportamientos del sistema e interacciones entre cadenas.
Robo de $334,000 Distribuido en Varias Cadenas
El domingo, los atacantes lanzaron un exploit sincronizado que robó alrededor de $334,000 de las billeteras controladas por ZetaChain. El ataque se centró en la infraestructura de pasarela entre cadenas del protocolo.
Según los informes, se cree que el exploit tuvo lugar a través de nueve transacciones en cuatro redes principales (las redes no están especificadas):
Ethereum
Arbitrum
Base
BNB Smart Chain
Este evento también ha dejado claro que todos los fondos de los usuarios no fueron afectados. La pérdida se limitó a los activos bajo el control del protocolo.
Reacción de la Comunidad Ante la Advertencia Desatendida
Casi inmediatamente después del anuncio, surgió una ola de discusiones en las redes sociales criticando el estado de los programas de recompensas por errores en el mundo de DeFi.
Un individuo en X comentó que el informe había sido enviado temprano e ignorado, ya que los mecanismos de incentivo en ciertos protocolos actualmente llevan a ignorar las advertencias tempranas sobre irregularidades.
El usuario añadió que:
Así es generalmente como funcionan los programas de recompensas por errores para estos protocolos en este momento; recompensan la pérdida para el protocolo, el valor total bloqueado y el saldo del usuario, en lugar de pagar al investigador por haber encontrado y arreglado el error.
Por supuesto, este tipo de comentarios representan comunidades frustradas. También demuestran una tensión importante en muchos modelos de seguridad Web3: si la preocupación es un riesgo teórico o una vulnerabilidad real.
El Problema de las Vulnerabilidades “válidas pero ignoradas”
Como demuestra el incidente de ZetaChain, este es un problema endémico en los sistemas de seguridad de blockchain. La mayoría de los exploits no se deben a errores no vistos, sino a casos límite inesperados que se ignoran o pasan por alto durante la revisión.
Un tema común en los informes de los investigadores de seguridad es que un ataque requiere que múltiples suposiciones o condiciones encadenadas sean verdaderas. Si bien los desarrolladores tienden a llamar a esto inviable, el resto del mundo a veces lo logra.
Esto crea un área gris donde:
Los desarrolladores de equipos de red no consideran que los falsos positivos y la sobrerreacción sean una propiedad deseada.
Los investigadores luchan por identificar las peores combinaciones posibles.
Los atacantes apuntan a la diferencia entre las dos interpretaciones.
Según ZetaChain, el proceso de revisión cambiará:
Tras el exploit, ZetaChain anunció que revisará sus procesos en las presentaciones de recompensas por errores, especialmente si implican errores de varios pasos o entre sistemas.
Se espera que el enfoque de la revisión incluya:
Una clasificación más precisa de las rutas de ataque encadenadas.
Mejores procedimientos de escalada para informes fronterizos.
Comunicación y colaboración mejoradas entre desarrolladores e investigadores de seguridad.
Permite una reevaluación más rápida de problemas rechazados en el pasado.
Aunque no se han elaborado a fondo alteraciones estructurales inmediatas, el procedimiento admitió que no tuvo suficientemente en cuenta el riesgo que planteaba la vulnerabilidad revelada.
Implicaciones Más Generales para la Seguridad DeFi
Esta es otra adición a una lista de exploits en finanzas descentralizadas donde las advertencias fueron en gran parte ignoradas o no se les dio gran importancia. También invita a reflexionar sobre si los marcos de recompensas por errores existentes son suficientes para los protocolos entre cadenas.
A medida que los protocolos abarcan múltiples redes y despliegan una infraestructura más componible, es difícil evaluar su seguridad de forma aislada. Una sola interacción omitida a veces puede incluso generar un efecto en cascada en múltiples cadenas, como en este ejemplo.
Por ahora, el exploit de ZetaChain nos recuerda una vez más que, en la seguridad de blockchain, la distinción entre un error teórico y un exploit real puede ser de meros segundos y cuán inteligente puede ser un hacker.
