La vulnerabilidad que llevó al reciente exploit en ZetaChain había sido señalada a través de su programa de recompensa por bugs antes del ataque, pero fue desestimada como comportamiento intencional.
En un análisis post-mortem publicado el miércoles, el equipo dijo que el incidente ha provocado una revisión de cómo maneja las submissions de recompensa por bugs, particularmente informes que involucran vectores de ataque encadenados que pueden parecer inofensivos aisladamente pero son peligrosos en combinación.
“Este bug fue reportado y simplemente lo ignoraron”, escribió un usuario en X. “Así es como funcionan los programas de recompensa por bugs con estos protocolos actualmente; incentivan pérdidas para el protocolo, el TVL y el saldo del usuario en lugar de pagar al investigador por descubrir y solucionar el bug”, agregaron.
ZetaChain perdió aproximadamente 334.000 dólares en un exploit premeditado el domingo que apuntó a su contrato de pasarela cross-chain. El exploit drenó fondos a través de nueve transacciones en cuatro cadenas, incluyendo Ethereum, Arbitrum, Base y BSC, todas desde billeteras controladas por ZetaChain. No se afectaron fondos de usuarios.
El atacante explota pequeños defectos de diseño
ZetaChain dijo en su análisis post-mortem que el atacante explotó tres defectos de diseño que, individualmente, podrían haber parecido menores, pero juntos abrieron la puerta a un drenaje completo. Primero, la pasarela permitió que cualquiera enviara instrucciones cross-chain arbitrarias sin restricciones. Segundo, en el extremo receptor, ejecutaría casi cualquier comando en cualquier contrato, con una lista de bloqueo tan estrecha que se perdió funciones básicas de transferencia de tokens.
Tercero, las billeteras que habían utilizado previamente la pasarela habían dejado permisos de gasto ilimitados en lugar que nunca se limpiaron. Al combinar los tres, el atacante simplemente le dijo a la pasarela que transfiriera tokens de billeteras de víctimas a las suyas, y la pasarela cumplió.
Fuente: ZetaChain
“Este no fue un ataque oportunista”, dijo ZetaChain en su análisis post-mortem. El atacante financió su billetera a través de Tornado Cash tres días antes del exploit, desplegó un contrato de drenaje personalizado en ZetaChain y ejecutó una campaña de envenenamiento de direcciones antes de sembrarla en su historial de transacciones a través de transferencias de polvo.
ZetaChain agregó que un parche que desactiva permanentemente la funcionalidad de llamada arbitraria se está implementando en los nodos de mainnet. La plataforma también eliminó las aprobaciones de tokens ilimitadas de su flujo de depósito, reemplazándolas con aprobaciones de cantidad exacta de ahora en adelante.
Éxito de exploits de DeFi con IA aumenta
Un nuevo estudio de a16z probó si un agente de IA fuera de la estantería podría ir más allá de identificar vulnerabilidades de DeFi y producir exploits funcionales. Utilizando OpenAI's Codex contra un conjunto de datos de 20 incidentes reales de manipulación de precios de Ethereum, los investigadores ejecutaron el agente en un entorno de sandbox sin acceso a datos de transacciones futuras ni orientación sobre cómo funcionaban los ataques. El agente tuvo éxito en solo el 10% de los casos.
Sin embargo, cuando los investigadores alimentaron al agente con conocimiento estructurado sobre patrones de ataque comunes y flujos de trabajo de exploit, la tasa de éxito saltó al 70%.
