نادیده گرفتن هشدار باگ بانتی منجر به بهرهبرداری ۳۳۴ هزار دلاری زتاچین در زنجیره متقاطع شد
زیتاچین در یک حمله بین زنجیرهای ۳۳۴ هزار دلار از دست داد. این مشکل قبلاً در برنامه جایزه باگ آن گزارش شده بود اما بهعنوان رفتار پیشبینیشده رد شد، که نگرانیهای امنیتی در حوزه دیفای را افزایش داد.
بر اساس افشاگریها و بحثهای پس از حادثه در جامعه، یک اکسپلویت که در نهایت ۳۳۴,۰۰۰ دلار برای ZetaChain هزینه داشت، پیشتر توسط برنامه کشف باگ خود پروژه کشف شده بود، اما به عنوان پیشفرض طراحی مورد انتظار تلقی شده بود.
این حفره امنیتی، که در قرارداد دروازه بین زنجیرهای ZetaChain یافت شد، نگرانیهای جدیدی را در مورد نحوه آزمایش هشدارهای امنیتی پروتکلهای Web3 و واکنش به سیگنالهای اولیه که ممکن است به خودی خود بیاهمیت به نظر برسند، ایجاد کرده است.
گزارش کشف باگ علامتگذاری شد اما اقدامی صورت نگرفت
تیم ZetaChain در گزارش پس از حادثه خود در روز چهارشنبه اعلام کرد که نقطه ضعف مورد سوءاستفاده در این حمله قبلاً توسط یک محقق امنیتی گزارش شده بود. اما پیش از این به عنوان یک باگ در نظر گرفته نشده بود زیرا توسعهدهنده آن را رفتار مورد انتظار سیستم میدانست.
این سیستم اکنون اعلام کرده است که این رویداد فرآیندی را در سازمان برای ارزیابی مجدد رویکرد گزارشدهی حوادث امنیتی آغاز کرده است، به ویژه در مواردی که مربوط به انواع پیچیدهتر آسیبپذیری و زنجیرههای اکسپلویت چندمرحلهای است.
هر یک از انواع آسیبپذیریها ممکن است به خودی خود بیضرر به نظر برسند، اما میتوانند به صورت جمعی در کنار سایر رفتارهای سیستم و تعاملات بین زنجیرهای مورد استفاده قرار گیرند.
سرقت ۳۳۴,۰۰۰ دلاری در چندین بلاکچین
روز یکشنبه، مهاجمان یک اکسپلویت همگامسازی شده راهاندازی کردند که حدود ۳۳۴,۰۰۰ دلار از کیفپولهای تحت کنترل ZetaChain به سرقت برد. این حمله بر زیرساخت دروازه بین زنجیرهای پروتکل متمرکز بود.
بر اساس گزارشها، گمان میرود که این اکسپلویت طی نه تراکنش از طریق چهار شبکه اصلی (شبکهها مشخص نشدهاند) انجام شده است:
اتریوم
آربیتروم
بیس
زنجیره هوشمند BNB
این رویداد همچنین روشن ساخت که تمامی وجوه کاربران تحت تأثیر قرار نگرفتند. خسارت به داراییهای تحت کنترل پروتکل محدود بود.
واکنش شدید جامعه به هشدار نادیده گرفته شده
تقریباً بلافاصله پس از اعلامیه، موجی از بحث در شبکههای اجتماعی به راه افتاد که وضعیت برنامههای کشف باگ در دنیای دیفای را مورد انتقاد قرار داد.
یکی از کاربران در X اظهار داشت که گزارش پیش از این ارسال شده و نادیده گرفته شده بود، زیرا سازوکارهای انگیزشی در برخی پروتکلها در حال حاضر منجر به نادیده گرفتن هشدارهای اولیه در مورد تخلفات میشود.
کاربر اضافه کرد:
در حال حاضر برنامههای کشف باگ برای این پروتکلها عموماً اینگونه کار میکنند؛ آنها به جای پرداخت به محقق برای یافتن و رفع باگ، ضرر به پروتکل، ارزش کل قفل شده و موجودی کاربر را پاداش میدهند.
البته این نوع اظهارنظرها نمایانگر جوامع ناامید است. آنها همچنین یک کشمکش مهم را در بسیاری از مدلهای امنیتی Web3 نشان میدهند: اینکه آیا نگرانی یک خطر تئوریک است یا یک آسیبپذیری واقعی.
مشکل آسیبپذیریهای «معتبر اما نادیده گرفته شده»
همانطور که حادثه ZetaChain نشان میدهد، این یک مشکل بومی در سیستمهای امنیتی بلاکچین است. اکثر اکسپلویتها به دلیل باگهای ناشناخته نیستند، بلکه به دلیل موارد خاص و غیرمنتظرهای هستند که در طول بررسی نادیده گرفته یا از قلم افتادهاند.
یکی از مضامین رایج گزارشهای محققان امنیتی این است که یک حمله به چندین فرض یا شرایط زنجیرهای برای درست بودن نیاز دارد. در حالی که توسعهدهندگان تمایل دارند این موارد را غیرممکن بنامند، بقیه دنیا گاهی اوقات این کار را انجام میدهند.
این یک منطقه خاکستری ایجاد میکند که در آن:
توسعهدهندگان تجهیزات شبکه، هشدارهای کاذب و واکنش بیش از حد را یک ویژگی مطلوب نمیدانند.
محققان برای شناسایی بدترین ترکیبات مشکل دارند.
مهاجمان تفاوت بین این دو۱ تفسیر را هدف قرار میدهند.
طبق گفته ZetaChain، فرآیند بازبینی تغییر خواهد کرد:
پس از اکسپلویت، ZetaChain اعلام کرد که فرآیندهای خود را در مورد ارسالهای کشف باگ، به ویژه اگر شامل باگهای چندمرحلهای یا بین سیستمی باشد، بازبینی خواهد کرد.
انتظار میرود تمرکز بازبینی شامل موارد زیر باشد:
طبقهبندی دقیقتر مسیرهای حمله زنجیرهای
رویه های بهتر برای ارجاع گزارشهای مبهم
بهبود ارتباط و همکاری بین توسعهدهندگان و محققان امنیتی
امکان ارزیابی مجدد سریعتر مشکلات رد شده قبلی.
اگرچه هیچ تغییر ساختاری فوری به طور کامل توضیح داده نشده است، اما این رویه اعتراف کرد که خطر ناشی از آسیبپذیری افشا شده را به اندازه کافی در نظر نگرفته بود.
پیامدهای کلیتر برای امنیت دیفای
این مورد دیگری است که به لیست اکسپلویتها در حوزه مالی غیرمتمرکز اضافه میشود که در آن هشدارها عمدتاً نادیده گرفته شده یا با اهمیت زیادی در نظر گرفته نشدهاند. همچنین این سوال را مطرح میکند که آیا چارچوبهای کشف باگ موجود برای پروتکلهای بین زنجیرهای کافی هستند یا خیر.
از آنجایی که پروتکلها چندین شبکه را در بر میگیرند و زیرساختهای قابل ترکیب بیشتری را مستقر میکنند، ارزیابی امنیت آنها به صورت جداگانه دشوار است. یک تعامل واحد از دست رفته حتی گاهی اوقات میتواند به اثرات آبشاری در چندین زنجیره منجر شود، همانطور که در این مثال مشاهده شد.
در حال حاضر، اکسپلویت ZetaChain بار دیگر به ما یادآوری میکند که در امنیت بلاکچین، تفاوت بین یک باگ نظری و یک اکسپلویت واقعی میتواند تنها چند ثانیه باشد و هکرها تا چه حد میتوانند زیرک باشند.
آخرین مقالات
