Ignorar Aviso de Bug Bounty Leva a Exploração Cross Chain de $334K na ZetaChain
A ZetaChain perdeu $334 mil em uma exploração cross-chain. O problema foi anteriormente identificado em seu programa de recompensa por bugs, mas descartado como um comportamento esperado, gerando preocupações de segurança no DeFi.
De acordo com as divulgações pós-incidente e discussões na comunidade, uma falha explorada (exploit) que eventualmente custou US$ 334.000 à ZetaChain foi descoberta anteriormente, através do próprio programa de recompensas por bugs (bug bounty) do projeto, mas foi considerada um comportamento de design esperado.
A brecha de segurança, encontrada no contrato de gateway cross-chain da ZetaChain, gerou novas preocupações sobre como os protocolos Web3 testam alertas de segurança e agem sobre sinais iniciais que podem parecer sem importância por si só.
Relatório de Bug Bounty Foi Sinalizado, Mas Não Atuado
A equipe da ZetaChain afirmou em sua análise post-mortem na quarta-feira que a fraqueza explorada no ataque havia sido relatada por um pesquisador de segurança antes do ataque. No entanto, não foi considerada um bug na época, pois o desenvolvedor pensou que era um comportamento intencional do sistema.
O sistema indicou agora que o evento iniciou um processo dentro da organização para reavaliar a técnica de como os incidentes são relatados em termos de segurança, particularmente no que diz respeito a tipos mais complexos de vulnerabilidade e cadeias de exploração multi-etapas.
Cada um dos tipos individuais de vulnerabilidades pode parecer inofensivo por si só, mas eles podem ser usados coletivamente em conjunto com outros comportamentos do sistema e interações cross-chain.
Roubo de US$ 334.000 Espalhado por Várias Cadeias
No domingo, atacantes lançaram um exploit sincronizado que roubou cerca de US$ 334.000 de carteiras controladas pela ZetaChain. O ataque concentrou-se na infraestrutura de gateway cross-chain do protocolo.
Com base nos relatórios, acredita-se que o exploit ocorreu em nove transações através de quatro redes principais (As redes não são especificadas):
Ethereum
Arbitrum
Base
BNB Smart Chain
Este evento também deixou claro que todos os fundos dos usuários não foram afetados. A perda foi limitada a ativos sob controle do protocolo.
Reação Negativa da Comunidade por Aviso Ignorado
Quase imediatamente após o anúncio, uma onda de discussão surgiu nas redes sociais criticando o estado dos programas de recompensas por bugs (bug bounty) no mundo das finanças descentralizadas (DeFi).
Um indivíduo no X (Twitter) observou que o relatório havia sido submetido cedo e ignorado, pois os mecanismos de incentivo em certos protocolos atualmente levam a ignorar avisos precoces de irregularidades.
O usuário acrescentou que:
É assim que os programas de recompensas por bugs (bug bounty) geralmente funcionam para esses protocolos no momento; eles recompensam a perda ao protocolo, o valor total bloqueado e o saldo do usuário, em vez de pagar ao pesquisador por ter encontrado e corrigido o bug.
Claro que esses tipos de comentários representam comunidades frustradas. Eles também demonstram uma tensão importante em muitos modelos de segurança Web3: se a preocupação é um risco teórico ou uma vulnerabilidade real.
O Problema das Vulnerabilidades “Válidas, Mas Ignoradas”
Como o incidente da ZetaChain demonstra, este é um problema endêmico nos sistemas de segurança de blockchain. A maioria dos exploits não se deve a bugs não vistos, mas sim a casos de borda inesperados que são ignorados ou negligenciados durante a revisão.
Um tema comum nos relatórios de pesquisadores de segurança é que um ataque requer que múltiplas suposições ou condições encadeadas sejam verdadeiras. Embora os desenvolvedores tendam a chamar isso de inviável, o resto do mundo às vezes o faz.
Isso cria uma área cinzenta onde:
Os desenvolvedores de equipamentos de rede não consideram falsos positivos e reações exageradas uma propriedade desejada.
Pesquisadores lutam para identificar combinações de pior cenário
Atacantes visam a diferença entre as duas interpretações
De acordo com a ZetaChain, o processo de revisão mudará:
Após o exploit, a ZetaChain anunciou que revisará seus processos de submissão de recompensas por bugs (bug bounty), especialmente se envolverem bugs multi-etapas ou cross-sistema.
O foco da revisão deverá incluir:
Classificação mais precisa de caminhos de ataque encadeados
Melhores procedimentos de escalonamento para relatórios limítrofes
Comunicação e colaboração aprimoradas entre desenvolvedores e pesquisadores de segurança
Permitir a reavaliação mais rápida de problemas rejeitados no passado.
Embora nenhuma alteração estrutural imediata tenha sido detalhada minuciosamente, o procedimento admitiu que não considerou suficientemente o risco representado pela vulnerabilidade divulgada.
Implicações Mais Gerais para a Segurança DeFi
Esta é mais uma adição a uma lista de exploits em finanças descentralizadas onde os avisos foram amplamente ignorados ou não foram levados com grande importância. Também convida à reflexão sobre se os frameworks de recompensa por bugs (bug bounty) existentes são suficientes para protocolos cross-chain.
À medida que os protocolos abrangem múltiplas redes e implantam infraestrutura mais composable, torna-se difícil avaliar sua segurança isoladamente. Uma única interação perdida pode, por vezes, desencadear efeitos em múltiplas cadeias, como neste exemplo.
Por enquanto, o exploit da ZetaChain nos lembra mais uma vez que, na segurança de blockchain, a distinção entre um bug teórico e um exploit real pode ser de meros segundos e quão engenhoso um hacker pode ser.
