इग्नोर किया गया बग बाउंटी वार्निंग ले गया $334K ZetaChain क्रॉस चेन एक्सप्लॉइट तक
ZetaChain ने एक क्रॉस चेन एक्सप्लॉइट में $334K खो दिए। इस समस्या को पहले इसके बग बाउंटी में संकेत दिया गया था लेकिन इसे अपेक्षित व्यवहार के रूप में खारिज कर दिया गया, जिससे DeFi में सुरक्षा चिंताएं बढ़ गईं।
घटना के बाद के खुलासे और समुदाय में हुई चर्चा के अनुसार, एक एक्सप्लॉइट, जिसकी वजह से ZetaChain को अंततः $334,000 का नुकसान हुआ, परियोजना के अपने बग बाउंटी योजना के तहत पहले ही खोज लिया गया था, लेकिन इसे अपेक्षित डिज़ाइन डिफ़ॉल्ट माना गया।
ZetaChain के क्रॉस-चेन गेटवे कॉन्ट्रैक्ट में मिली इस सुरक्षा खामी ने इस बात को लेकर नई चिंताएँ पैदा कर दी हैं कि Web3 प्रोटोकॉल सुरक्षा अलर्ट का परीक्षण कैसे करते हैं और उन प्रारंभिक संकेतों पर कैसे कार्रवाई करते हैं जो अपने आप में महत्वहीन लग सकते हैं।
बग बाउंटी रिपोर्ट को चिह्नित किया गया लेकिन उस पर कार्रवाई नहीं की गई
ZetaChain टीम ने बुधवार को अपने पोस्टमॉर्टम में कहा कि हमले में इस्तेमाल की गई कमजोरी की सूचना एक सुरक्षा शोधकर्ता ने हमले से पहले ही दे दी थी। लेकिन इसे पहले एक बग नहीं माना गया क्योंकि डेवलपर ने सोचा कि यह सिस्टम का इच्छित व्यवहार है।
सिस्टम ने अब संकेत दिया है कि इस घटना ने संगठन के भीतर एक प्रक्रिया शुरू कर दी है ताकि सुरक्षा के संदर्भ में घटनाओं की रिपोर्टिंग की तकनीक का पुनर्मूल्यांकन किया जा सके, विशेष रूप से जहां यह अधिक जटिल प्रकार की कमजोरियों और बहु-चरणीय एक्सप्लॉइट चेन से संबंधित है।
कमजोरियों के प्रत्येक व्यक्तिगत प्रकार अपने आप में हानिरहित लग सकते हैं, लेकिन उन्हें सामूहिक रूप से अन्य सिस्टम व्यवहारों और क्रॉस-चेन इंटरैक्शन के साथ इस्तेमाल किया जा सकता है।
$334,000 की चोरी कई चेनों में फैली
रविवार को, हमलावरों ने एक समन्वित एक्सप्लॉइट लॉन्च किया जिसने ZetaChain नियंत्रित वॉलेट से लगभग $334,000 चुरा लिए। यह हमला प्रोटोकॉल के क्रॉस-चेन गेटवे इंफ्रास्ट्रक्चर पर केंद्रित था।
रिपोर्टों के आधार पर यह माना जाता है कि यह एक्सप्लॉइट चार प्रमुख नेटवर्कों (नेटवर्क निर्दिष्ट नहीं हैं) के माध्यम से नौ लेनदेन में हुआ:
एथेरियम
आर्बिट्रम
बेस
बीएनबी स्मार्ट चेन
इस घटना ने यह भी स्पष्ट कर दिया है कि सभी उपयोगकर्ता निधियाँ अप्रभावित रहीं। नुकसान प्रोटोकॉल के नियंत्रण वाली संपत्तियों तक सीमित था।
दबाई गई चेतावनी पर समुदाय का विरोध
घोषणा के तुरंत बाद, सोशल मीडिया पर चर्चाओं की एक लहर उठ गई जिसमें डेफी की दुनिया में बग बाउंटी कार्यक्रमों की स्थिति की आलोचना की गई।
X पर एक व्यक्ति ने टिप्पणी की कि रिपोर्ट समय से पहले जमा की गई थी और उसे अनदेखा कर दिया गया, क्योंकि कुछ प्रोटोकॉल में प्रोत्साहन तंत्र वर्तमान में गलत काम के लिए शुरुआती चेतावनियों को नजरअंदाज करने का कारण बनता है।
उपयोगकर्ता ने आगे कहा:
फिलहाल इन प्रोटोकॉल के लिए बग बाउंटी कार्यक्रम आमतौर पर ऐसे ही काम करते हैं; वे शोधकर्ता को बग ढूंढने और उसे ठीक करने के लिए भुगतान करने के बजाय प्रोटोकॉल को हुए नुकसान, कुल लॉक किए गए मूल्य और उपयोगकर्ता के बैलेंस को पुरस्कृत करते हैं।
निश्चित रूप से, इस तरह की टिप्पणियां निराश समुदायों का प्रतिनिधित्व करती हैं। वे कई Web3 सुरक्षा मॉडलों में एक महत्वपूर्ण तनाव भी दर्शाती हैं: कि क्या चिंता एक सैद्धांतिक जोखिम है या एक वास्तविक भेद्यता।
“वैध लेकिन अनदेखी की गई” कमजोरियों की समस्या
जैसा कि ZetaChain घटना दर्शाती है, यह ब्लॉकचेन सुरक्षा प्रणालियों के साथ एक स्थानिक मुद्दा है। अधिकांश एक्सप्लॉइट्स अनजाने बग्स के कारण नहीं होते हैं, बल्कि अप्रत्याशित एज केस के कारण होते हैं जिनकी समीक्षा के दौरान अनदेखी या उपेक्षा की जाती है।
सुरक्षा शोधकर्ताओं की रिपोर्टों का एक सामान्य विषय यह है कि एक हमले के लिए कई मान्यताओं या श्रृंखलाबद्ध स्थितियों का सत्य होना आवश्यक होता है। जबकि डेवलपर्स इन्हें अव्यावहारिक कहने की प्रवृत्ति रखते हैं, बाकी दुनिया कभी-कभी ऐसा करती है।
यह एक ग्रे क्षेत्र बनाता है जहाँ:
नेटवर्क उपकरणों के डेवलपर्स झूठे सकारात्मक और अतिप्रतिक्रिया को वांछित गुण नहीं मानते हैं।
शोधकर्ताओं को सबसे खराब स्थिति वाले संयोजनों की पहचान करने में कठिनाई होती है
हमलावर दोनों व्याख्याओं के बीच के अंतर को निशाना बनाते हैं
ZetaChain के अनुसार, समीक्षा प्रक्रिया बदलेगी:
एक्सप्लॉइट के बाद, ZetaChain ने घोषणा की कि वह बग बाउंटी सबमिशन पर अपनी प्रक्रियाओं की समीक्षा करेगा, खासकर यदि इसमें बहु-चरणीय या क्रॉस-सिस्टम बग शामिल हों।
समीक्षा का ध्यान अपेक्षित रूप से शामिल होगा:
श्रृंखलाबद्ध हमले के रास्तों का अधिक सटीक वर्गीकरण
सीमावर्ती रिपोर्टों के लिए बेहतर एस्केलेशन प्रक्रियाएं
डेवलपर्स और सुरक्षा शोधकर्ताओं के बीच बेहतर संचार और सहयोग
पूर्व में खारिज की गई समस्याओं का तेजी से पुनर्मूल्यांकन करने की अनुमति देता है।
हालांकि कोई तत्काल संरचनात्मक परिवर्तन विस्तार से नहीं बताए गए हैं, प्रक्रिया ने स्वीकार किया कि उसने उजागर की गई भेद्यता से उत्पन्न जोखिम का पर्याप्त रूप से हिसाब नहीं रखा।
डेफी सुरक्षा के लिए अधिक सामान्य निहितार्थ
यह विकेन्द्रीकृत वित्त में एक्सप्लॉइट्स की सूची में एक और जुड़ाव है जहाँ चेतावनियों को बड़े पैमाने पर अनदेखा किया गया या उन्हें ज्यादा महत्व नहीं दिया गया। यह इस बात पर भी विचार करने के लिए प्रेरित करता है कि क्या मौजूदा बग बाउंटी ढाँचे क्रॉस-चेन प्रोटोकॉल के लिए पर्याप्त हैं।
जैसे-जैसे प्रोटोकॉल कई नेटवर्कों तक फैलते हैं और अधिक कंपोज़ेबल इंफ्रास्ट्रक्चर तैनात करते हैं, उनकी सुरक्षा का अकेले में मूल्यांकन करना मुश्किल हो जाता है। एक अकेली चूक गई बातचीत भी कभी-कभी कई चेन प्रभावों में बदल सकती है, जैसा कि इस उदाहरण में है।
फिलहाल, ZetaChain एक्सप्लॉइट हमें एक बार फिर याद दिलाता है कि ब्लॉकचेन सुरक्षा में, एक सैद्धांतिक बग और एक वास्तविक एक्सप्लॉइट के बीच का अंतर केवल कुछ सेकंड का हो सकता है और एक हैकर कितना चतुर हो सकता है।
