Pagsuway sa Babala ng Bug Bounty Nagresulta sa $334K ZetaChain Cross Chain Exploit
Nawalan ang ZetaChain ng $334K sa isang cross chain exploit. Ang isyu ay naunang naitala sa kanilang bug bounty ngunit itinuring na normal na kilos, na nagdulot ng mga alalahanin sa seguridad sa DeFi.
Ayon sa mga pagbubunyag pagkatapos ng insidente at mga talakayan sa komunidad, isang exploit na kalaunan ay nagkakahalaga sa ZetaChain ng $334,000 ang natuklasan nang mas maaga, sa pamamagitan ng sariling bug bounty scheme ng proyekto, ngunit itinuring na inaasahang default na disenyo.
Ang butas sa seguridad, na natagpuan sa cross-chain gateway contract ng ZetaChain, ay nagdulot ng bagong pagkabahala kung paano sinusuri ng mga Web3 protocol ang mga alerto sa seguridad at kumikilos sa mga maagang senyales na maaaring hindi mahalaga sa kanilang sarili.
Ulat ng Bug Bounty ay Naitampok Ngunit Hindi Kinilos
Sinabi ng ZetaChain team sa kanilang post-mortem noong Miyerkules na ang kahinaan na sinamantala sa pag-atake ay naiulat na ng isang security researcher bago pa man ang pag-atake. Ngunit hindi ito itinuring na isang bug noon dahil inakala ng developer na ito ay sinasadyang pag-uugali para sa sistema.
Ipinahiwatig na ngayon ng sistema na sinimulan ng pangyayaring ito ang isang proseso sa loob ng organisasyon upang muling suriin ang pamamaraan kung paano iniuulat ang mga insidente sa seguridad, partikular kung saan ito ay nauugnay sa mas kumplikadong uri ng vulnerability at multi-step exploit chains.
Ang bawat isa sa mga indibidwal na uri ng vulnerability ay maaaring mukhang hindi nakakapinsala sa kanilang sarili ngunit maaari silang sama-samang magamit kasama ng iba pang pag-uugali ng sistema at cross-chain interactions.
$334,000 Nakaw na Kumalat sa Iba't Ibang Chains
Noong Linggo, naglunsad ang mga attacker ng sabay-sabay na exploit na nagnakaw ng humigit-kumulang $334,000 mula sa mga wallet na kontrolado ng ZetaChain. Nakasentro ang atake sa cross-chain gateway infrastructure ng protocol.
Batay sa mga ulat, pinaniniwalaang naganap ang exploit sa siyam na transaksyon sa pamamagitan ng apat na pangunahing network (Hindi tinukoy ang mga network):
Ethereum
Arbitrum
Base
BNB Smart Chain
Nilinaw din ng pangyayaring ito na hindi naapektuhan ang lahat ng pondo ng user. Limitado ang pagkalugi sa mga asset na kontrolado ng protocol.
Pagtuligsa ng Komunidad Dahil sa Binalewalang Babala
Halos kaagad pagkatapos ng anunsyo, bumulwak ang isang alon ng talakayan sa iba't ibang social media na pumupuna sa kalagayan ng mga bug bounty program sa mundo ng DeFi.
Isang indibidwal sa X ang nagpahayag na naiulat na ang ulat nang maaga at binalewala, dahil ang mga mekanismo ng insentibo sa ilang protocol ay kasalukuyang humahantong sa pagbabalewala ng maagang babala para sa mga maling gawain.
Idinagdag ng user na:
Iyan ang karaniwang paraan kung paano gumagana ang mga bug bounty program para sa mga protocol na ito sa kasalukuyan; ginagantimpalaan nila ang pagkalugi sa protocol, ang total value locked, at ang balanse ng user, sa halip na bayaran ang researcher na nakatuklas at nag-ayos ng bug.
Siyempre ang mga ganitong uri ng komento ay kumakatawan sa mga frustrated na komunidad. Nagpapakita rin sila ng mahalagang tensyon sa maraming modelo ng seguridad ng Web3: kung ang pagkabahala ay isang teoretikal na panganib o isang aktwal na vulnerability.
Ang Problema ng mga “Balido Ngunit Binalewalang” Vulnerability
Gaya ng ipinapakita ng insidente ng ZetaChain, ito ay isang endemic na isyu sa mga sistema ng seguridad ng blockchain. Karamihan sa mga exploit ay hindi dahil sa hindi nakikitang bug, kundi sa mga hindi inaasahang edge case na binalewala o hindi napansin sa panahon ng pagsusuri.
Isang karaniwang tema ng mga ulat mula sa mga security researcher ay nangangailangan ang isang atake ng maraming pagpapalagay o chained conditions upang maging totoo. Habang may tendensiya ang mga developer na tawagin itong hindi posible, ang natitirang bahagi ng mundo minsan ay ginagawa ito.
Lumilikha ito ng isang gray area kung saan:
Ang mga developer ng kagamitan sa network ay hindi isinasaalang-alang ang false positives at overreaction bilang isang nais na katangian.
Nahihirapan ang mga researcher na tukuyin ang pinakamasamang kombinasyon
Tinatarget ng mga attacker ang pagkakaiba sa pagitan ng dalawang interpretasyon
Ayon sa ZetaChain, magbabago ang proseso ng pagsusuri:
Kasunod ng exploit, inanunsyo ng ZetaChain na susuriin nito ang mga proseso nito sa mga bug bounty submission lalo na kung kasama rito ang multi-step o cross-system bug.
Inaasahang isasama sa focus ng pagsusuri ang:
Mas tumpak na klasipikasyon ng mga chained attack path
Mas mahusay na mga pamamaraan ng escalation para sa mga borderline na ulat
Pinabuting komunikasyon at pakikipagtulungan sa pagitan ng mga developer at security researcher
Nagbibigay-daan sa mas mabilis na muling pagtatasa ng mga nakaraang tinanggihang problema.
Bagama't walang agarang structural na pagbabago ang lubusang ipinaliwanag, inamin ng pamamaraan na hindi nito sapat na isinasaalang-alang ang panganib na dulot ng ibinunyag na vulnerability.
Mas Malawakang Implikasyon para sa Seguridad ng DeFi
Ito ay isa pang karagdagan sa listahan ng mga exploit sa decentralized finance kung saan malawakang binalewala o hindi binigyan ng malaking kahalagahan ang mga babala. Nag-aanyaya rin ito ng pagmumuni-muni kung sapat ba ang mga bug bounty framework na umiiral para sa mga cross-chain protocol.
Habang ang mga protocol ay sumasaklaw sa maraming network at nagpapakalat ng mas maraming composable infrastructure, mahirap suriin ang kanilang seguridad nang hiwalay. Ang isang solong hindi napansing interaksyon ay minsan pa ngang maaaring magdulot ng multi-chain effects, gaya sa halimbawang ito.
Sa ngayon, pinaaalalahanan tayo muli ng ZetaChain exploit na sa seguridad ng blockchain, ang pagkakaiba sa pagitan ng isang teoretikal na bug at isang aktwal na exploit ay maaaring ilang segundo lamang at kung gaano katuso ang isang hacker.
