Ignorance de l’avertissement de bug bounty conduit à une exploitation cross-chain de 334K $ sur ZetaChain
ZetaChain a perdu 334 000 $ dans une exploitation cross-chain. Le problème avait été signalé auparavant dans sa prime aux bugs mais rejeté comme un comportement attendu, soulevant des inquiétudes en matière de sécurité dans la DeFi.
Selon les divulgations post-incident et les discussions au sein de la communauté, un exploit qui a finalement coûté 334 000 $ à ZetaChain a été découvert plus tôt, par le programme de bug bounty du projet, mais considéré comme un comportement par défaut de conception attendu.
La faille de sécurité, trouvée dans le contrat de passerelle inter-chaînes de ZetaChain, a ravivé les inquiétudes quant à la manière dont les protocoles Web3 testent les alertes de sécurité et agissent sur des signaux précoces qui, pris isolément, peuvent sembler insignifiants.
Le Rapport de Bug Bounty a été Signalé mais Non Traité
L'équipe de ZetaChain a déclaré dans son post-mortem de mercredi que la faiblesse exploitée lors de l'attaque avait été signalée par un chercheur en sécurité avant l'attaque. Cependant, elle n'avait pas été considérée comme un bug auparavant, car le développeur estimait qu'il s'agissait d'un comportement intentionnel du système.
Le système a maintenant indiqué que cet événement a initié un processus au sein de l'organisation pour réévaluer la technique de signalement des incidents en matière de sécurité, en particulier lorsqu'il s'agit de types de vulnérabilités plus complexes et de chaînes d'exploits multi-étapes.
Chacun des types de vulnérabilités pris individuellement peut sembler inoffensif, mais ils peuvent être utilisés collectivement avec d'autres comportements du système et interactions inter-chaînes.
334 000 $ de Vol Répartis sur Plusieurs Chaînes
Dimanche, des attaquants ont lancé un exploit synchronisé qui a dérobé environ 334 000 $ des portefeuilles contrôlés par ZetaChain. L'attaque a ciblé l'infrastructure de passerelle inter-chaînes du protocole.
D'après les rapports, on estime que l'exploit a eu lieu via neuf transactions à travers quatre réseaux majeurs (les réseaux ne sont pas spécifiés) :
Ethereum
Arbitrum
Base
BNB Smart Chain
Cet événement a également clairement indiqué que tous les fonds des utilisateurs n'ont pas été affectés. La perte s'est limitée aux actifs sous le contrôle du protocole.
Réaction Négative de la Communauté Face à un Avertissement Ignoré
Presque immédiatement après l'annonce, une vague de discussions a éclaté sur les réseaux sociaux, critiquant l'état des programmes de bug bounty dans le monde de la DeFi.
Un individu sur X a fait remarquer que le rapport avait été soumis tôt et ignoré, car les mécanismes d'incitation dans certains protocoles conduisent actuellement à ignorer les avertissements précoces concernant des actes répréhensibles.
L'utilisateur a ajouté que :
C'est généralement ainsi que fonctionnent les programmes de bug bounty pour ces protocoles en ce moment ; ils récompensent la perte subie par le protocole, la valeur totale verrouillée et le solde de l'utilisateur, plutôt que de payer le chercheur pour avoir trouvé et corrigé le bug.
Bien sûr, ce genre de commentaires représente des communautés frustrées. Ils démontrent également une tension importante dans de nombreux modèles de sécurité Web3 : savoir si la préoccupation est un risque théorique ou une vulnérabilité réelle.
Le Problème des Vulnérabilités « Valides mais Ignorées »
Comme le démontre l'incident ZetaChain, il s'agit d'un problème endémique des systèmes de sécurité blockchain. La plupart des exploits ne sont pas dus à des bugs invisibles, mais plutôt à des cas limites inattendus qui sont ignorés ou négligés lors de l'examen.
Un thème commun des rapports des chercheurs en sécurité est qu'une attaque nécessite que plusieurs hypothèses ou conditions en chaîne soient vraies. Alors que les développeurs ont tendance à qualifier cela d'irréalisable, le reste du monde le fait parfois.
Cela crée une zone grise où :
Les développeurs d'équipements réseau ne considèrent pas les faux positifs et la surréaction comme une propriété souhaitable.
Les chercheurs ont du mal à identifier les pires combinaisons.
Les attaquants ciblent la différence entre les deux interprétations.
Selon ZetaChain, le processus d'examen va changer :
Suite à l'exploit, ZetaChain a annoncé qu'elle allait réviser ses processus concernant les soumissions de bug bounty, en particulier si elles impliquent des bugs multi-étapes ou inter-systèmes.
L'examen devrait se concentrer sur :
Une classification plus précise des chemins d'attaque en chaîne.
De meilleures procédures d'escalade pour les rapports limites.
Une communication et une collaboration améliorées entre les développeurs et les chercheurs en sécurité.
Permet une réévaluation plus rapide des problèmes précédemment rejetés.
Bien qu'aucune modification structurelle immédiate n'ait été élaborée en détail, la procédure a admis qu'elle n'avait pas suffisamment tenu compte du risque posé par la vulnérabilité divulguée.
Implications Générales pour la Sécurité de la DeFi
Ceci est une nouvelle addition à une liste d'exploits dans la finance décentralisée où les avertissements ont été largement ignorés ou n'ont pas été pris avec une grande importance. Cela invite également à s'interroger sur la suffisance des cadres de bug bounty en place pour les protocoles inter-chaînes.
Alors que les protocoles s'étendent sur plusieurs réseaux et déploient une infrastructure plus composable, il est difficile d'évaluer leur sécurité de manière isolée. Une seule interaction manquée peut parfois avoir des effets en cascade sur plusieurs chaînes, comme dans cet exemple.
Pour l'instant, l'exploit de ZetaChain nous rappelle une fois de plus que dans la sécurité blockchain, la distinction entre un bug théorique et un exploit réel peut se réduire à quelques secondes, et à quel point un hacker peut être ingénieux.
