忽視漏洞懸賞警告導致ZetaChain跨鏈攻擊損失33.4萬美元

根據事後披露和社群討論，ZetaChain 早前發現了一個最終導致其損失 334,000 美元的漏洞攻擊，該漏洞最初是透過專案自身的錯誤賞金計畫發現的，但當時被認為是預期的設計預設行為。

這個在 ZetaChain 跨鏈網關合約中發現的安全漏洞，引發了人們對 Web3 協定如何測試安全警報以及如何處理那些單獨看來可能不重要但卻是早期訊號的新焦慮。

錯誤賞金報告被標記但未被處理

ZetaChain 團隊在週三發布的事後報告中表示，這次攻擊中被利用的弱點在攻擊發生前就已有一位安全研究員報告。但當時並未將其視為錯誤，因為開發人員認為這是系統的預期行為。

該系統現已指出，這次事件已啟動了組織內部的一個流程，以重新評估安全事件的報告方式，特別是涉及更複雜的漏洞類型和多步驟攻擊鏈的情況。

每種獨立的漏洞類型單獨來看可能無害，但它們可以與其他系統行為和跨鏈互動結合使用。334,000 美元失竊案橫跨多條鏈

週日，攻擊者發動了一次同步攻擊，從 ZetaChain 控制的錢包中竊取了大約 334,000 美元。這次攻擊主要針對該協定的跨鏈網關基礎設施。

根據報告，據信這次攻擊透過四個主要網路（網路未具體說明）的九筆交易進行：

Ethereum

Arbitrum

Base

BNB Smart Chain

這次事件也明確指出所有用戶資金均未受影響。損失僅限於協定控制下的資產。社群對被忽視的警告感到不滿

消息發布後，社交媒體上立即引發了一波討論，批評去中心化金融（DeFi）領域錯誤賞金計畫的現狀。

X 上的一位用戶評論說，該報告很早就提交了但卻被忽略了，因為目前某些協定的激勵機制導致他們忽略了早期針對不當行為的警告。

該用戶補充道：

目前這些協定的錯誤賞金計畫通常就是這樣運作的；它們獎勵協議遭受的損失、總鎖定價值以及用戶餘額，而不是支付給研究人員，獎勵他們發現並修復了錯誤。

當然，這些評論代表了感到沮喪的社群。它們也揭示了許多 Web3 安全模型中一個重要的矛盾：即關注的是理論風險還是實際漏洞。

「有效但被忽視」漏洞的問題

正如 ZetaChain 事件所表明的，這是區塊鏈安全系統中普遍存在的問題。大多數漏洞攻擊並非由於未被發現的錯誤，而是由於在審查過程中被忽視或遺漏的意外邊緣情況。

安全研究人員報告的一個常見主題是，一次攻擊需要多重假設或鏈式條件同時成立。雖然開發人員傾向於將這些情況稱為不可行，但現實世界有時確實會發生這種情況。

這就創造了一個灰色地帶，其中：

網路設備的開發人員不認為誤報和過度反應是預期的特性。

研究人員難以識別最壞情況組合

攻擊者針對這兩種解釋之間的差異

根據 ZetaChain 的說法，審查流程將會改變：

在漏洞攻擊發生後，ZetaChain 宣布將審查其錯誤賞金提交流程，特別是涉及多步驟或跨系統錯誤的提交。

審查的重點預計將包括：

更準確地分類鏈式攻擊路徑

為邊緣報告提供更好的升級程序

改進開發人員和安全研究人員之間的溝通與協作

允許更快地重新評估過去被拒絕的問題。

儘管尚未徹底闡述立即的結構性改變，但該程序承認其未能充分考慮已披露漏洞所帶來的風險。

對 DeFi 安全的更廣泛影響

這是去中心化金融（DeFi）領域又一個漏洞攻擊案例，其中警告在很大程度上被忽視或未受到足夠重視。它也引發了人們對現有的錯誤賞金框架是否足以應對跨鏈協定的思考。

隨著協定橫跨多個網路並部署更具可組合性的基礎設施，獨立評估其安全性變得困難。一個被錯過的單一互動甚至有時會像本例一樣，級聯到多鏈效應。

就目前而言，ZetaChain 的漏洞攻擊再次提醒我們，在區塊鏈安全中，理論錯誤與實際漏洞攻擊之間的區別可能僅僅是幾秒鐘，以及駭客可能有多麼狡猾。