สรุปข่าว
- ZetaChain เผยรายงาน post-mortem ยอมรับว่ามีนักวิจัยด้านความปลอดภัยรายงานช่องโหว่ผ่านโปรแกรม bug bounty ก่อนถูกโจมตี แต่ถูกปัดทิ้งว่าเป็น “การทำงานตามที่ออกแบบไว้”
- เมื่อวันที่ 26 เม.ย. 2569 ผู้โจมตีเจาะช่องโหว่ใน smart contract GatewayEVM สูญเงินจากกระเป๋าทีมงาน ZetaChain กว่า $333,868 กระจายอยู่ใน 4 บล็อกเชน ได้แก่ Ethereum, Arbitrum, Base และ BSC
- ZetaChain ประกาศทบทวนกระบวนการประเมิน bug bounty โดยเฉพาะรายงานที่เกี่ยวข้องกับการโจมตีแบบ multi-step ซึ่งอาจดูไม่ร้ายแรงในทีละขั้นแต่รุนแรงเมื่อรวมกัน
แนวโน้มผลกระทบต่อราคา Bearish
เหตุการณ์นี้เป็นสัญญาณเชิงลบต่อความน่าเชื่อถือของ ZetaChain เนื่องจากเปิดเผยว่าโปรแกรม bug bounty ทำงานได้ไม่มีประสิทธิภาพ ทำให้นักลงทุนและผู้ใช้งานอาจลดความไว้วางใจในโปรโตคอล แม้ความเสียหายจะจำกัดอยู่ที่กระเป๋าทีมงาน แต่ภาพลักษณ์ด้านความปลอดภัยได้รับผลกระทบ
เมื่อวันที่ 29 เม.ย. 2569 ZetaChain ได้เผยแพร่รายงาน post-mortem ยอมรับว่าช่องโหว่ที่นำไปสู่การถูกเจาะระบบเมื่อไม่กี่วันก่อนนั้น เคยถูกรายงานผ่านโปรแกรม bug bounty ของโปรโตคอลแล้ว แต่ถูกปัดทิ้งด้วยเหตุผลว่าเป็น “การทำงานตามที่ออกแบบไว้” หรือ “พฤติกรรมของโปรโตคอลที่ตั้งใจไว้” ตามรายงานจาก Cointelegraph ก่อนหน้านี้เมื่อวันที่ 26 เม.ย. 2569 ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ใน smart contract ชื่อ GatewayEVM ทำให้กระเป๋าเงินของทีมงาน ZetaChain สูญเสียเงินรวมกว่า $333,868 กระจายอยู่ใน 4 บล็อกเชน ได้แก่ Ethereum, Arbitrum, Base และ BSC โดยไม่มีเงินของผู้ใช้งานภายนอกได้รับความเสียหายแต่อย่างใด
ช่องโหว่ที่ถูกมองข้ามจนนำไปสู่การโจมตี
ผู้โจมตีใช้จุดอ่อน 3 ประการที่เชื่อมโยงกันใน smart contract GatewayEVM โดยเฉพาะการขาดการตรวจสอบสิทธิ์การเข้าถึง (access control) และการตรวจสอบข้อมูลนำเข้า (input validation) ในฟังก์ชัน `call` ของสัญญา GatewayZEVM ซึ่งบริษัทด้านความปลอดภัย SlowMist ระบุว่าเป็นสาเหตุหลักของเหตุการณ์ดังกล่าว สิ่งที่น่าเป็นห่วงคือจุดอ่อนแต่ละข้ออาจดูไม่ร้ายแรงเมื่อพิจารณาแยกกัน แต่เมื่อผู้โจมตีนำมาใช้ร่วมกันแบบ multi-step จึงสามารถดูดเงินออกจากกระเป๋าทีมงานได้สำเร็จ
นอกจากนี้ยังพบว่าผู้โจมตีวางแผนล่วงหน้าอย่างรอบคอบ โดยโอนเงินเข้ากระเป๋าผ่าน Tornado Cash (เครื่องมือสร้างความเป็นส่วนตัวในการทำธุรกรรม) ก่อนวันโจมตีถึง 3 วัน และยังใช้วิธีสร้างที่อยู่กระเป๋าแบบพิเศษ (vanity address) ด้วยการสุ่มรหัสซ้ำ (brute-force) เพื่อพรางตัวตน จากนั้นในวันที่ 27 เม.ย. 2569 ZetaChain ได้ระงับการดำเนินงานข้ามเชนทั้งหมดบนเครือข่ายหลัก (mainnet) เพื่อป้องกันความเสียหายเพิ่มเติมและปิดช่องทางโจมตี
บทเรียนจาก Bug Bounty ที่ไม่ได้ผล
ประเด็นที่สร้างความกังวลในชุมชนคริปโตมากที่สุดไม่ใช่ตัวเลขความเสียหาย แต่คือข้อเท็จจริงที่ว่าช่องโหว่นี้เคยถูกรายงานมาแล้ว แต่ทีมงาน ZetaChain ตัดสินใจปัดทิ้ง โดยให้เหตุผลว่าเป็น “การทำงานปกติตามการออกแบบ” ซึ่งสะท้อนให้เห็นถึงปัญหาเชิงกระบวนการในการประเมินรายงานความปลอดภัย โดยเฉพาะกรณีที่การโจมตีต้องอาศัยการรวมจุดอ่อนหลายข้อเข้าด้วยกัน ZetaChain เปิดตัวโปรแกรม bug bounty อย่างเป็นทางการร่วมกับ Immunefi เมื่อวันที่ 28 มี.ค. 2568 โดยมุ่งเน้นที่ความปลอดภัยบน testnet และปัจจุบันใช้แพลตฟอร์ม HackenProof สำหรับรับรายงานช่องโหว่
ในรายงาน post-mortem ล่าสุด ZetaChain ระบุว่าเหตุการณ์นี้กระตุ้นให้เกิดการทบทวนภายในในการประเมินรายงาน bug bounty โดยเฉพาะรายงานที่เกี่ยวข้องกับการโจมตีแบบหลายขั้นตอน และยืนยันว่าจะปรับปรุงกระบวนการเพื่อป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้ซ้ำขึ้นอีก อย่างไรก็ตาม ชุมชนคริปโตยังตั้งคำถามว่าการทบทวนดังกล่าวจะเพียงพอหรือไม่ หากโปรโตคอลยังคงพึ่งพาทีมงานภายในในการตัดสินใจว่าช่องโหว่ใดสมควรได้รับการแก้ไข
ส่วนตัวผู้เขียนมองว่าเรื่องนี้เป็นตัวอย่างที่ชัดเจนมากว่าโปรแกรม bug bounty จะมีประโยชน์จริงได้ก็ต่อเมื่อทีมที่รับรายงานมีความสามารถและความตั้งใจจริงในการประเมินความเสี่ยง ไม่ใช่แค่ตั้งโปรแกรมขึ้นมาเพื่อ PR ว่าใส่ใจความปลอดภัย กรณีของ ZetaChain น่าเสียดายมาก เพราะหากรายงานนั้นได้รับการพิจารณาอย่างจริงจัง ก็อาจป้องกันความเสียหายกว่า $333,000 ได้ สิ่งที่ต้องจับตาต่อจากนี้คือ ZetaChain จะฟื้นความเชื่อมั่นได้อย่างไร และโปรแกรม bug bounty ที่ปรับปรุงแล้วจะมีโครงสร้างเช่นไรเพื่อไม่ให้รายงานสำคัญถูกปัดทิ้งอีก
ที่มา: Cointelegraph
ภาพจาก AI
