Zignorowanie ostrzeżenia o błędzie w programie Bug Bounty prowadzi do exploita Cross Chain ZetaChain o wartości 334 tys. USD
ZetaChain stracił 334 tys. USD w wyniku exploitacji międzyłańcuchowej. Problem został wcześniej zgłoszony w programie bug bounty, ale odrzucony jako spodziewane zachowanie, co wzbudziło obawy dotyczące bezpieczeństwa w DeFi.
Według ujawnień po incydencie i dyskusji w społeczności, eksploit, który ostatecznie kosztował ZetaChain 334 000 USD, został wcześniej odkryty w ramach własnego programu nagród za błędy projektu, ale uznano go za domyślne zachowanie zgodne z zamierzeniami projektowymi.
Luka bezpieczeństwa, znaleziona w kontrakcie bramy międzyłańcuchowej ZetaChain, wywołała nowe obawy dotyczące tego, jak protokoły Web3 testują alerty bezpieczeństwa i reagują na wczesne sygnały, które same w sobie mogą wydawać się mało istotne.
Raport z programu Bug Bounty Został Zgłoszony, ale Nie Podjęto Działań
Zespół ZetaChain w swojej analizie po incydencie w środę poinformował, że słabość wykorzystana w ataku została zgłoszona przez badacza bezpieczeństwa przed atakiem. Jednak nie została ona wcześniej uznana za błąd, ponieważ deweloper uznał to za zamierzone zachowanie systemu.
System wskazał teraz, że zdarzenie to zapoczątkowało proces w organizacji mający na celu ponowną ocenę technik zgłaszania incydentów związanych z bezpieczeństwem, w szczególności w przypadku bardziej złożonych typów luk i wieloetapowych łańcuchów eksploitów.
Każdy z poszczególnych typów luk może wydawać się nieszkodliwy sam w sobie, ale mogą one być wspólnie wykorzystane wraz z innymi zachowaniami systemowymi i interakcjami międzyłańcuchowymi.
Kradzież 334 000 USD Rozprzestrzeniona na Kilka Łańcuchów
W niedzielę, atakujący przeprowadzili zsynchronizowany eksploit, który pozbawił portfele kontrolowane przez ZetaChain około 334 000 USD. Atak skupił się na infrastrukturze bramy międzyłańcuchowej protokołu.
Na podstawie raportów uważa się, że eksploit miał miejsce w dziewięciu transakcjach poprzez cztery główne sieci (sieci nie są sprecyzowane):
Ethereum
Arbitrum
Base
BNB Smart Chain
To zdarzenie również jasno pokazało, że wszystkie środki użytkowników pozostały nienaruszone. Strata ograniczyła się do aktywów pod kontrolą protokołu.
Reakcja Społeczności na Zignorowane Ostrzeżenie
Prawie natychmiast po ogłoszeniu, w mediach społecznościowych rozgorzała dyskusja krytykująca stan programów nagród za błędy w świecie DeFi.
Pewna osoba na X zauważyła, że raport został złożony wcześnie i zignorowany, ponieważ mechanizmy motywacyjne w niektórych protokołach obecnie prowadzą do ignorowania wczesnych ostrzeżeń o nieprawidłowościach.
Użytkownik dodał, że:
Tak generalnie działają programy nagród za błędy dla tych protokołów w tej chwili; nagradzają one straty protokołu, całkowitą zablokowaną wartość i saldo użytkownika, zamiast płacić badaczowi za znalezienie i naprawienie błędu.
Oczywiście tego rodzaju komentarze reprezentują sfrustrowane społeczności. Pokazują również ważne napięcie w wielu modelach bezpieczeństwa Web3: czy obawa dotyczy ryzyka teoretycznego, czy rzeczywistej luki.
Problem „ważnych, ale ignorowanych” luk
Jak pokazuje incydent z ZetaChain, jest to endemiczny problem w systemach bezpieczeństwa blockchain. Większość eksploitów nie wynika z nieodkrytych błędów, ale raczej z nieoczekiwanych przypadków brzegowych, które są ignorowane lub przeoczone podczas przeglądu.
Częstym tematem raportów od badaczy bezpieczeństwa jest to, że atak wymaga wielu założeń lub powiązanych warunków, aby były spełnione. Podczas gdy deweloperzy mają tendencję do nazywania ich niewykonalnymi, reszta świata czasami to robi.
Tworzy to szarą strefę, w której:
Deweloperzy sprzętu sieciowego nie uważają fałszywych alarmów i nadmiernej reakcji za pożądaną cechę.
Badacze mają trudności z identyfikacją najgorszych kombinacji przypadków.
Atakujący wykorzystują różnicę między dwiema interpretacjami.
Według ZetaChain, proces przeglądu zostanie zmieniony:
Po eksploicie ZetaChain ogłosił, że dokona przeglądu swoich procesów dotyczących zgłoszeń do programu nagród za błędy, zwłaszcza jeśli dotyczą one błędów wieloetapowych lub między systemowych.
Przewiduje się, że przegląd skupi się na:
Dokładniejszej klasyfikacji ścieżek ataków łańcuchowych
Lepszych procedurach eskalacji dla raportów na pograniczu
Ulepszonej komunikacji i współpracy między deweloperami a badaczami bezpieczeństwa
Umożliwieniu szybszej ponownej oceny wcześniej odrzuconych problemów.
Chociaż nie opracowano gruntownie żadnych natychmiastowych zmian strukturalnych, procedura przyznała, że nie uwzględniła w wystarczającym stopniu ryzyka stwarzanego przez ujawnioną lukę.
Ogólne Implikacje dla Bezpieczeństwa DeFi
Jest to kolejne uzupełnienie listy eksploitów w zdecentralizowanych finansach, gdzie ostrzeżenia były w dużej mierze ignorowane lub nie traktowane z należytą powagą. Zachęca to również do zastanowienia się, czy istniejące ramy programów nagród za błędy są wystarczające dla protokołów międzyłańcuchowych.
Ponieważ protokoły obejmują wiele sieci i wdrażają bardziej komponowalną infrastrukturę, trudno jest oceniać ich bezpieczeństwo w izolacji. Jedna pominięta interakcja może czasami kaskadowo wpływać na wiele łańcuchów, jak w tym przykładzie.
Na razie eksploit ZetaChain po raz kolejny przypomina nam, że w bezpieczeństwie blockchain rozróżnienie między błędem teoretycznym a rzeczywistym eksploitem może wynosić zaledwie sekundy i jak sprytny może być haker.
