Eksploatacija pogodila cross-chain gateway, sredstva povučena sa četiri blockchain mreže bez uticaja na korisničke novčanike
ZetaChain je zabeležila gubitak od 334.000 dolara (oko 38,5 miliona dinara) nakon što je ranjivost u njenom cross-chain gateway kontraktu iskorišćena kroz niz pažljivo planiranih transakcija. Ključni propust, koji je prethodno prijavljen putem bug bounty programa, odbačen je kao “očekivano ponašanje”, što je direktno omogućilo napad. Eksploatacija je izvršena u nedelju i obuhvatila je ukupno devet transakcija na četiri blockchain mreže: Ethereum, Arbitrum, Base i BSC, pri čemu su sredstva povučena sa novčanika pod kontrolom ZetaChain-a. Kompanija je u post-mortem izveštaju naglasila da korisnička sredstva nisu bila ugrožena ovim incidentom.
Analiza incidenta pokazuje da su iskorišćene tri međusobno povezane dizajnerske slabosti: gateway je omogućavao slanje proizvoljnih cross-chain instrukcija bez ograničenja, izvršavao je gotovo sve komande na bilo kojem smart kontraktu osim ograničenog broja funkcija, dok su neograničene dozvole za trošenje tokena ostajale aktivne na prethodno korišćenim novčanicima. Kombinovanjem ovih slabosti, napadač je uspeo da prenese tokene na svoj novčanik.
ZetaChain je u svom izveštaju navela da je napad bio unapred isplaniran: napadač je finansirao svoj novčanik putem Tornado Cash servisa tri dana pre napada, kreirao poseban drainer kontrakt i sproveo “address poisoning” kampanju kroz dust transfere. Kao odgovor, platforma je uvela trajno onemogućavanje mogućnosti arbitrarnih poziva na mainnet nodovima i uklonila neograničene token dozvole iz procesa deponovanja, zamenjujući ih odobravanjem tačnih iznosa.
Ovaj incident je ponovo otvorio pitanje efikasnosti bug bounty programa u DeFi sektoru, jer je ranjivost bila prijavljena, ali je procenjena kao bezopasna. Kritike iz zajednice ukazuju na to da aktuelni pristup bug bounty nagradama često ne motiviše istraživače da prijave i reše potencijalne pretnje na vreme, što može dovesti do direktnih gubitaka za protokol, TVL i bilanse korisnika.
U širem kontekstu, studija a16z pokazuje da sposobnost AI agenata da identifikuju i iskoriste DeFi ranjivosti značajno raste kada imaju pristup strukturiranim informacijama o poznatim obrascima napada. U testiranju na 20 stvarnih slučajeva manipulacije cenama na Ethereum mreži, uspešnost AI eksploatacije porasla je sa 10% na 70% kada je agent bio unapred informisan o tipičnim vektorskim napadima. Ovi nalazi dodatno naglašavaju potrebu za proaktivnim i sveobuhvatnim pristupom bezbednosti u decentralizovanim finansijama.
Source: https://cointelegraph.com/news/zetachain-dismissed-bug-report-that-could-have-prevented-334k-exploit
