ZetaChain đã phớt lờ báo cáo lỗi có thể ngăn chặn vụ khai thác $334K

Lỗ hổng dẫn đến vụ khai thác gần đây của ZetaChain đã được đánh dấu thông qua chương trình thưởng lỗi trước khi vụ tấn công xảy ra, nhưng đã bị loại bỏ như là hành vi dự kiến.
Trong một bài viết tổng kết được công bố vào thứ Tư, đội ngũ đã cho biết sự cố này đã thúc đẩy việc xem xét cách họ xử lý các báo cáo thưởng lỗi, đặc biệt là các báo cáo liên quan đến các vector tấn công chuỗi có thể trông vô hại khi tách biệt nhưng lại nguy hiểm khi kết hợp.
“Lỗi này đã được báo cáo nhưng họ đơn giản là phớt lờ nó,” một người dùng đã viết trên X. “Đó là cách các chương trình thưởng lỗi hoạt động với những giao thức này hiện tại; họ khuyến khích tổn thất cho giao thức, TVL, và số dư của người dùng thay vì trả tiền cho nhà nghiên cứu để phát hiện và sửa lỗi,” họ bổ sung.
ZetaChain đã mất khoảng $334,000 do một cuộc khai thác có chủ đích vào Chủ nhật nhắm vào hợp đồng cổng chéo của nó. Cuộc khai thác đã rút tiền qua chín giao dịch trên bốn chuỗi, bao gồm Ethereum, Arbitrum, Base và BSC, tất cả đều từ các ví do ZetaChain kiểm soát. Không có quỹ của người dùng nào bị ảnh hưởng.
Kẻ tấn công khai thác các lỗi thiết kế nhỏ.
ZetaChain nói trong bài phân tích hậu sự cố của họ rằng kẻ tấn công đã khai thác ba lỗi thiết kế mà, nếu nhìn riêng lẻ, có thể có vẻ nhỏ nhặt, nhưng khi kết hợp lại đã mở ra cánh cửa cho một đợt rút toàn bộ. Đầu tiên, cổng cho phép bất kỳ ai gửi các lệnh chéo tùy ý mà không có bất kỳ hạn chế nào. Thứ hai, ở đầu nhận, nó thực thi gần như bất kỳ lệnh nào trên bất kỳ hợp đồng nào, với một danh sách chặn quá hẹp đến mức bỏ qua các chức năng chuyển token cơ bản.
Thứ ba, các ví đã từng sử dụng cổng đã để lại quyền chi tiêu không giới hạn mà không bao giờ được dọn dẹp. Bằng cách kết hợp cả ba điều này, kẻ tấn công chỉ cần bảo cổng chuyển token từ các ví nạn nhân sang ví của mình, và cổng đã tuân thủ.
Nguồn: ZetaChain.
“Đây không phải là một cuộc tấn công cơ hội,” ZetaChain nói trong bài phân tích hậu sự cố của họ. Kẻ tấn công đã tài trợ ví của mình thông qua Tornado Cash ba ngày trước khi khai thác, triển khai một hợp đồng drainer được thiết kế riêng trên ZetaChain và thực hiện một chiến dịch đầu độc địa chỉ trước khi đưa nó vào lịch sử giao dịch của họ thông qua các giao dịch dust.
ZetaChain đã thông báo rằng một bản vá vô hiệu hóa vĩnh viễn chức năng gọi tùy ý đang được triển khai trên các nút mainnet. Nền tảng cũng đã loại bỏ các phê duyệt token không giới hạn trong quy trình gửi tiền, thay thế bằng các phê duyệt số lượng chính xác trong tương lai.
Tỷ lệ thành công của khai thác AI DeFi đang gia tăng.
Một nghiên cứu mới của a16z đã kiểm tra xem một tác nhân AI có sẵn có thể vượt qua việc xác định các lỗ hổng DeFi và thực sự sản xuất các cuộc khai thác hoạt động hay không. Sử dụng Codex của OpenAI trên một tập dữ liệu gồm 20 sự cố thao túng giá Ethereum thực tế, các nhà nghiên cứu đã chạy tác nhân trong một môi trường được cách ly mà không có quyền truy cập vào dữ liệu giao dịch tương lai và không có hướng dẫn về cách thức hoạt động của các cuộc tấn công. Tác nhân thành công chỉ trong 10% các trường hợp.
Tuy nhiên, khi các nhà nghiên cứu cung cấp cho tác nhân kiến thức có cấu trúc về các mẫu tấn công phổ biến và quy trình khai thác, tỷ lệ thành công đã nhảy lên 70%.
Tạp chí: Cách khắc phục nghi ngờ giao dịch nội gián trên Polymarket và Kalshi.