Peringatan Bug Bounty diabaikan menyebabkan Eksploitasi Cross Chain ZetaChain senilai $334K
ZetaChain kehilangan $334K dalam exploit lintas rantai. Masalah ini sebelumnya telah dilaporkan dalam program bug bounty namun diabaikan karena dianggap sebagai perilaku yang diharapkan, menimbulkan kekhawatiran keamanan dalam DeFi.
Menurut pengungkapan insiden pasca-kejadian dan diskusi di komunitas, sebuah eksploitasi yang pada akhirnya merugikan ZetaChain sebesar $334.000 ditemukan sebelumnya, melalui skema bug bounty proyek itu sendiri, tetapi dianggap sebagai perilaku desain bawaan yang diharapkan.
Celah keamanan, yang ditemukan dalam kontrak gateway lintas rantai ZetaChain, telah menimbulkan kekhawatiran baru tentang bagaimana protokol Web3 menguji peringatan keamanan dan bertindak berdasarkan sinyal awal yang mungkin tidak penting secara individual.
Laporan Bug Bounty Ditandai tetapi Tidak Ditindaklanjuti
Tim ZetaChain menyatakan dalam analisis pasca-mortem mereka pada hari Rabu bahwa kelemahan yang dieksploitasi dalam serangan itu telah dilaporkan oleh seorang peneliti keamanan sebelum serangan tersebut. Namun, hal itu tidak dianggap sebagai bug sebelumnya karena pengembang mengira itu adalah perilaku yang disengaja untuk sistem.
Sistem tersebut kini telah mengindikasikan bahwa insiden ini telah memulai proses di dalam organisasi untuk mengevaluasi ulang teknik pelaporan insiden dalam hal keamanan, khususnya yang menyangkut jenis kerentanan yang lebih kompleks dan rantai eksploitasi multi-langkah.
Masing-masing jenis kerentanan ini mungkin tampak tidak berbahaya secara individual, tetapi secara kolektif dapat digunakan bersama perilaku sistem lain dan interaksi lintas rantai.
Pencurian $334.000 Tersebar di Beberapa Rantai
Pada hari Minggu, penyerang meluncurkan eksploitasi tersinkronisasi yang merampas sekitar $334.000 dari dompet yang dikendalikan ZetaChain. Serangan ini berfokus pada infrastruktur gateway lintas rantai protokol tersebut.
Berdasarkan laporan, diyakini bahwa eksploitasi tersebut terjadi melalui sembilan transaksi di empat jaringan utama (Jaringan-jaringan tersebut tidak disebutkan secara spesifik):
Ethereum
Arbitrum
Base
BNB Smart Chain
Kejadian ini juga memperjelas bahwa semua dana pengguna tidak terpengaruh. Kerugian terbatas pada aset yang berada di bawah kendali protokol.
Kritik Komunitas atas Peringatan yang Diremehkan
Hampir segera setelah pengumuman tersebut, gelombang diskusi muncul di media sosial yang mengkritik kondisi program bug bounty di seluruh dunia DeFi.
Seseorang di X berkomentar bahwa laporan tersebut telah diajukan lebih awal dan diabaikan, karena mekanisme insentif dalam protokol tertentu saat ini mengarah pada pengabaian peringatan dini atas kesalahan.
Pengguna menambahkan bahwa:
Itu umumnya cara kerja program bug bounty untuk protokol ini saat ini; mereka memberi penghargaan atas kerugian pada protokol, total nilai terkunci (TVL), dan saldo pengguna, daripada membayar peneliti karena telah menemukan dan memperbaiki bug.
Tentu saja komentar-komentar semacam ini mewakili komunitas yang frustrasi. Mereka juga menunjukkan ketegangan penting dalam banyak model keamanan Web3: apakah kekhawatiran itu adalah risiko teoretis atau kerentanan aktual.
Masalah Kerentanan yang “Valid tetapi Diabaikan”
Seperti yang ditunjukkan oleh insiden ZetaChain, ini adalah masalah endemik dalam sistem keamanan blockchain. Sebagian besar eksploitasi bukan karena bug yang tidak terlihat, melainkan kasus tepi yang tidak terduga yang diabaikan atau terlewatkan selama peninjauan.
Salah satu tema umum laporan dari peneliti keamanan adalah bahwa serangan membutuhkan banyak asumsi atau kondisi berantai untuk menjadi kenyataan. Meskipun pengembang cenderung menyebut ini tidak dapat dilaksanakan, dunia kadang-kadang melakukan hal ini.
Ini menciptakan area abu-abu di mana:
Pengembang peralatan jaringan tidak menganggap positif palsu dan reaksi berlebihan sebagai properti yang diinginkan.
Peneliti kesulitan mengidentifikasi kombinasi kasus terburuk
Penyerang menargetkan perbedaan antara dua interpretasi tersebut
Menurut ZetaChain, proses peninjauan akan berubah:
Setelah eksploitasi, ZetaChain mengumumkan bahwa mereka akan meninjau prosesnya terkait pengajuan bug bounty, terutama jika melibatkan bug multi-langkah atau lintas sistem.
Fokus peninjauan diharapkan mencakup:
Klasifikasi jalur serangan berantai yang lebih akurat
Prosedur eskalasi yang lebih baik untuk laporan yang meragukan
Peningkatan komunikasi dan kolaborasi antara pengembang dan peneliti keamanan
Memungkinkan penilaian ulang yang lebih cepat terhadap masalah yang sebelumnya ditolak.
Meskipun belum ada perubahan struktural langsung yang dijelaskan secara menyeluruh, prosedur tersebut mengakui bahwa mereka tidak cukup memperhitungkan risiko yang ditimbulkan oleh kerentanan yang diungkapkan.
Implikasi yang Lebih Umum untuk Keamanan DeFi
Ini adalah tambahan lain dalam daftar eksploitasi di keuangan terdesentralisasi di mana peringatan sebagian besar diabaikan atau tidak dianggap penting. Ini juga mengundang perenungan apakah kerangka kerja bug bounty yang ada sudah cukup untuk protokol lintas rantai.
Karena protokol mencakup berbagai jaringan dan menyebarkan infrastruktur yang lebih komposabel, sulit untuk mengevaluasi keamanannya secara terpisah. Satu interaksi yang terlewatkan bahkan terkadang dapat menyebabkan efek berantai pada berbagai rantai, seperti dalam contoh ini.
Untuk saat ini, eksploitasi ZetaChain mengingatkan kita sekali lagi bahwa dalam keamanan blockchain, perbedaan antara bug teoretis dan eksploitasi aktual bisa hanya dalam hitungan detik dan betapa cerdiknya seorang peretas.
