ZetaChain a rejeté un rapport de bug qui aurait pu prévenir un exploit de 334K $

La vulnérabilité qui a conduit à l'exploit récent de ZetaChain avait été signalée via son programme de bug bounty avant l'attaque, mais a été rejetée comme un comportement prévu.
Dans un post-mortem publié mercredi, l'équipe a déclaré que l'incident avait déclenché une révision de la façon dont elle gère les soumissions de bug bounty, en particulier les rapports impliquant des vecteurs d'attaque chaînés qui peuvent sembler inoffensifs isolément mais sont dangereux en combinaison.
« Ce bug a été signalé et ils l'ont simplement ignoré », a écrit un utilisateur sur X. « C'est ainsi que fonctionnent actuellement les programmes de bug bounty avec ces protocoles ; ils incitent à des pertes pour le protocole, la TVL, et le solde de l'utilisateur au lieu de payer le chercheur pour avoir découvert et corrigé le bug », ont-ils ajouté.
ZetaChain a perdu environ 334 000 $ à la suite d'une exploitation préméditée dimanche qui a ciblé son contrat de passerelle cross-chain. L'exploitation a drainé des fonds à travers neuf transactions sur quatre chaînes, y compris Ethereum, Arbitrum, Base et BSC, toutes à partir de portefeuilles contrôlés par ZetaChain. Aucun fonds utilisateur n'a été affecté.
L'attaquant exploite de petites failles de conception.
ZetaChain a déclaré dans son post-mortem que l'attaquant avait exploité trois failles de conception qui, individuellement, auraient pu sembler mineures, mais ensemble ont ouvert la porte à un drain complet. Tout d'abord, la passerelle permettait à quiconque d'envoyer des instructions cross-chain arbitraires sans restrictions. Deuxièmement, à la réception, elle exécutait presque n'importe quel ordre sur n'importe quel contrat, avec une liste noire si étroite qu'elle manquait des fonctions de transfert de jetons basiques.
Troisièmement, les portefeuilles ayant précédemment utilisé la passerelle avaient laissé des autorisations de dépense illimitées en place qui n'avaient jamais été nettoyées. En combinant les trois, l'attaquant a simplement dit à la passerelle de transférer des jetons des portefeuilles victimes vers le sien, et la passerelle a obéi.
Source : ZetaChain.
« Ce n'était pas une attaque opportuniste », a déclaré ZetaChain dans son post-mortem. L'attaquant a financé son portefeuille via Tornado Cash trois jours avant l'exploitation, déployé un contrat de drain conçu sur mesure sur ZetaChain et mené une campagne de contamination d'adresse avant de l'intégrer dans son historique de transactions via des transferts de poussière.
ZetaChain a ajouté qu'un patch désactivant de façon permanente la fonctionnalité d'appel arbitraire est en cours de déploiement sur les nœuds mainnet. La plateforme a également supprimé les approbations de jetons illimitées de son flux de dépôt, les remplaçant par des approbations de montant exact à l'avenir.
Le taux de réussite des exploitations DeFi par IA augmente.
Une nouvelle étude de a16z a testé si un agent IA prêt à l'emploi pouvait aller au-delà de l'identification des vulnérabilités DeFi et produire réellement des exploitations fonctionnelles. En utilisant Codex d'OpenAI contre un ensemble de données de 20 incidents réels de manipulation des prix d'Ethereum, les chercheurs ont exécuté l'agent dans un environnement isolé sans accès aux données de transaction futures et sans orientation sur le fonctionnement des attaques. L'agent a réussi dans seulement 10 % des cas.
Cependant, lorsque les chercheurs ont fourni à l'agent des connaissances structurées sur les motifs d'attaque courants et les flux de travail d'exploitation, le taux de réussite a grimpé à 70%.
Magazine : Comment corriger les soupçons de délit d'initié sur Polymarket et Kalshi.