Genegeerde Bug Bounty Waarschuwing Leidt tot $334K ZetaChain Cross-Chain Exploit
ZetaChain verloor $334K door een cross-chain exploit. Het probleem werd eerder gemeld in de bug bounty, maar afgedaan als verwachte werking, wat zorgen over de beveiliging in DeFi oproept.
Volgens mededelingen na het incident en discussies in de community, werd een exploit die ZetaChain uiteindelijk $334.000 kostte, eerder ontdekt via het eigen bug bounty-programma van het project, maar werd deze als het verwachte ontwerpgebrek beschouwd.
Het beveiligingslek, gevonden in het cross-chain gateway-contract van ZetaChain, heeft nieuwe zorgen doen ontstaan over hoe Web3-protocollen beveiligingswaarschuwingen testen en reageren op vroege signalen die op zichzelf misschien onbelangrijk lijken.
Bug Bounty-rapport werd gemeld maar niet opgevolgd
Het ZetaChain-team zei in zijn post-mortem van woensdag dat de zwakte die in de aanval werd uitgebuit, vóór de aanval al was gemeld door een beveiligingsonderzoeker. Maar het werd eerder niet als een bug beschouwd, omdat de ontwikkelaar dacht dat het een beoogd gedrag voor het systeem was.
Het systeem heeft nu aangegeven dat het incident een proces binnen de organisatie in gang heeft gezet om de techniek te heroverwegen hoe incidenten worden gerapporteerd op het gebied van beveiliging, in het bijzonder waar het complexere soorten kwetsbaarheden en multi-step exploit-ketens betreft.
Elk van de afzonderlijke typen kwetsbaarheden lijken op zichzelf misschien onschadelijk, maar ze kunnen collectief worden gebruikt in combinatie met ander systeemgedrag en cross-chain interacties.
Diefstal van $334.000 verspreid over verschillende ketens
Op zondag lanceerden aanvallers een gesynchroniseerde exploit die ongeveer $334.000 roofde van door ZetaChain gecontroleerde wallets. De aanval richtte zich op de cross-chain gateway-infrastructuur van het protocol.
Op basis van de rapporten wordt aangenomen dat de exploit plaatsvond via negen transacties door vier grote netwerken (De netwerken zijn niet gespecificeerd):
Ethereum
Arbitrum
Base
BNB Smart Chain
Dit incident heeft ook duidelijk gemaakt dat alle gebruikersfondsen onaangetast bleven. Het verlies was beperkt tot activa onder controle van het protocol.
Tegenslag van de gemeenschap na genegeerde waarschuwing
Bijna onmiddellijk na de aankondiging ontstond een golf van discussie op sociale media waarin de staat van bug bounty-programma's in de wereld van DeFi werd bekritiseerd.
Een individu op X merkte op dat het rapport vroeg was ingediend en genegeerd, aangezien incentive-mechanismen in bepaalde protocollen momenteel leiden tot het negeren van vroege waarschuwingen voor misstanden.
De gebruiker voegde eraan toe dat:
Dat is over het algemeen hoe bug bounty-programma's voor deze protocollen op dit moment werken; ze belonen het verlies voor het protocol, de totale waarde die vaststaat (total value locked) en het gebruikerssaldo, in plaats van de onderzoeker te betalen voor het vinden en oplossen van de bug.
Natuurlijk vertegenwoordigen dit soort opmerkingen gefrustreerde gemeenschappen. Ze tonen ook een belangrijke spanning aan in veel Web3-beveiligingsmodellen: of het nu gaat om een theoretisch risico of een daadwerkelijke kwetsbaarheid.
Het probleem van "geldige maar genegeerde" kwetsbaarheden
Zoals het ZetaChain-incident aantoont, is dit een endemisch probleem met blockchain-beveiligingssystemen. De meeste exploits zijn niet te wijten aan onopgemerkte bugs, maar eerder aan onverwachte randgevallen die tijdens de beoordeling worden genegeerd of over het hoofd worden gezien.
Een veelvoorkomend thema in rapporten van beveiligingsonderzoekers is dat een aanval meerdere aannames of geketende voorwaarden vereist om waar te zijn. Hoewel ontwikkelaars de neiging hebben om deze als onhaalbaar te bestempelen, doet de rest van de wereld dit soms wel.
Dit creëert een grijs gebied waar:
Ontwikkelaars van netwerkapparatuur vals-positieven en overreactie niet als een gewenste eigenschap beschouwen.
Onderzoekers moeite hebben met het identificeren van worst-case combinaties
Aanvallers zich richten op het verschil tussen de twee interpretaties
Volgens ZetaChain zal het beoordelingsproces veranderen:
Na de exploit heeft ZetaChain aangekondigd dat het zijn processen met betrekking tot bug bounty-inzendingen zal herzien, vooral als het multi-step of cross-systeem bugs betreft.
De focus van de herziening zal naar verwachting omvatten:
Nauwkeurigere classificatie van geketende aanvalspaden
Betere escalatieprocedures voor grensgevallenrapporten
Verbeterde communicatie en samenwerking tussen ontwikkelaars en beveiligingsonderzoekers
Snellere herbeoordeling van eerder afgewezen problemen mogelijk maken.
Hoewel er geen onmiddellijke structurele wijzigingen grondig zijn uitgewerkt, gaf de procedure toe dat deze onvoldoende rekening hield met het risico dat de bekendgemaakte kwetsbaarheid met zich meebracht.
Meer Algemene Implicaties voor DeFi-beveiliging
Dit is weer een toevoeging aan een lijst van exploits in gedecentraliseerde financiën waar waarschuwingen grotendeels werden genegeerd of niet met groot belang werden genomen. Het nodigt ook uit tot nadenken over de vraag of de huidige bug bounty-frameworks voldoende zijn voor cross-chain protocollen.
Aangezien protocollen meerdere netwerken omvatten en meer composable infrastructuur inzetten, is het moeilijk om hun beveiliging geïsoleerd te evalueren. Eén gemiste interactie kan soms zelfs leiden tot effecten over meerdere ketens, zoals in dit voorbeeld.
Voor nu herinnert de ZetaChain-exploit ons er nogmaals aan dat in blockchain-beveiliging het onderscheid tussen een theoretische bug en een daadwerkelijke exploit slechts seconden kan zijn, en hoe slim een hacker kan zijn.
