Ignorarea avertismentului Bug Bounty duce la exploit în valoare de 334K $ pe ZetaChain Cross Chain
ZetaChain a pierdut 334.000 de dolari într-un exploit cross chain. Problema a fost semnalată anterior în programul său de recompense pentru bug-uri, dar a fost respinsă ca fiind un comportament așteptat, ridicând astfel îngrijorări privind securitatea în DeFi.
Conform dezvăluirilor post-incident și discuțiilor din comunitate, o exploatare care a costat în cele din urmă ZetaChain 334.000 de dolari a fost descoperită mai devreme, prin propriul program de recompense pentru bug-uri al proiectului, dar a fost considerată a fi comportamentul implicit așteptat al designului.
Breșa de securitate, găsită în contractul de gateway inter-lanț al ZetaChain, a adus noi îngrijorări cu privire la modul în care protocoalele Web3 testează alertele de securitate și acționează în baza semnalelor timpurii care pot părea neimportante de la sine.
Raportul de Bug Bounty a fost semnalat, dar nu s-a acționat
Echipa ZetaChain a declarat miercuri, în analiza sa post-mortem, că vulnerabilitatea exploatată în atac fusese raportată de un cercetător în securitate înainte de atac. Însă nu a fost considerată un bug la momentul respectiv, deoarece dezvoltatorul a crezut că este un comportament intenționat al sistemului.
Sistemul a indicat acum că evenimentul a inițiat un proces în cadrul organizației pentru a reevalua tehnica de raportare a incidentelor din punct de vedere al securității, în special acolo unde privește tipuri mai complexe de vulnerabilitate și lanțuri de exploatare în mai multe etape.
Fiecare dintre tipurile individuale de vulnerabilități poate părea inofensivă de la sine, dar ele pot fi utilizate colectiv împreună cu alte comportamente ale sistemului și interacțiuni inter-lanț.
Furt de 334.000 de dolari răspândit pe mai multe lanțuri
Duminică, atacatorii au lansat o exploatare sincronizată care a sustras aproximativ 334.000 de dolari din portofelele controlate de ZetaChain. Atacul s-a concentrat pe infrastructura de gateway inter-lanț a protocolului.
Pe baza rapoartelor, se crede că exploatarea a avut loc prin nouă tranzacții, prin patru rețele majore (rețelele nu sunt specificate):
Ethereum
Arbitrum
Base
BNB Smart Chain
Acest eveniment a clarificat, de asemenea, că toate fondurile utilizatorilor nu au fost afectate. Pierderea a fost limitată la activele aflate sub controlul protocolului.
Reacția negativă a comunității față de avertismentul ignorat
Aproape imediat după anunț, un val de discuții a apărut pe rețelele sociale, criticând starea programelor de recompense pentru bug-uri în lumea DeFi.
O persoană de pe X a remarcat că raportul fusese depus mai devreme și ignorat, deoarece mecanismele de stimulare din anumite protocoale duc în prezent la ignorarea avertismentelor timpurii pentru acte ilicite.
Utilizatorul a adăugat că:
Așa funcționează, în general, programele de recompense pentru bug-uri pentru aceste protocoale în prezent; ele recompensează pierderea pentru protocol, valoarea totală blocată și soldul utilizatorului, mai degrabă decât să plătească cercetătorul pentru că a găsit și a reparat bug-ul.
Desigur, aceste tipuri de comentarii reprezintă comunități frustrate. Ele demonstrează, de asemenea, o tensiune importantă în multe modele de securitate Web3: dacă preocuparea este un risc teoretic sau o vulnerabilitate reală.
Problema vulnerabilităților „valide, dar ignorate”
Așa cum demonstrează incidentul ZetaChain, aceasta este o problemă endemică a sistemelor de securitate blockchain. Cele mai multe exploatări nu se datorează unor bug-uri nevăzute, ci mai degrabă unor cazuri limită neașteptate care sunt ignorate sau trecute cu vederea în timpul revizuirii.
O temă comună a rapoartelor de la cercetătorii în securitate este că un atac necesită ca mai multe ipoteze sau condiții înlănțuite să fie adevărate. În timp ce dezvoltatorii au tendința de a le numi irealizabile, restul lumii face uneori acest lucru.
Acest lucru creează o zonă gri în care:
Dezvoltatorii de echipamente de rețea nu consideră fals-pozitivele și suprareacția o proprietate dorită.
Cercetătorii se luptă să identifice combinațiile din cel mai rău caz
Atacatorii vizează diferența dintre cele două interpretări
Conform ZetaChain, procesul de revizuire se va schimba:
În urma exploatării, ZetaChain a anunțat că își va revizui procesele privind depunerea de bug bounty, în special dacă implică bug-uri în mai multe etape sau inter-sistem.
Obiectivul revizuirii este de așteptat să includă:
O clasificare mai precisă a căilor de atac înlănțuite
Proceduri de escaladare mai bune pentru rapoartele la limită
Comunicare și colaborare îmbunătățite între dezvoltatori și cercetătorii în securitate
Permite reevaluarea mai rapidă a problemelor respinse anterior.
Deși nu au fost elaborate în detaliu modificări structurale imediate, procedura a recunoscut că nu a ținut cont suficient de riscul prezentat de vulnerabilitatea divulgată.
Implicații generale pentru securitatea DeFi
Aceasta este o altă adăugare la o listă de exploatări în finanțele descentralizate unde avertismentele au fost în mare parte ignorate sau nu au fost luate în serios. De asemenea, invită la reflecție asupra faptului dacă cadrele de lucru pentru recompensele pentru bug-uri existente sunt suficiente pentru protocoalele inter-lanț.
Pe măsură ce protocoalele se extind pe mai multe rețele și implementează o infrastructură mai compozabilă, este dificil să le evaluezi securitatea în izolare. O singură interacțiune ratată poate chiar, uneori, să ducă la efecte în cascadă pe mai multe lanțuri, ca în acest exemplu.
Deocamdată, exploatarea ZetaChain ne reamintește încă o dată că în securitatea blockchain, distincția dintre un bug teoretic și o exploatare reală poate fi de doar câteva secunde și cât de inteligent poate fi un hacker.
