подзвігі рэгулярна пакутуюць ад блокчейн-індустрыі і пратаколаў DeFi, як ніколі раней. Амаль кожны дзень з'яўляецца чарговая жахлівая гісторыя пра тое, як хакеры высмоктваюць сродкі з добра вядомага пратакола з дапамогай эксплойта, які можна было злавіць загадзя. Яшчэ горш той уплыў, які навіна можа аказаць на супольнасць пацярпелай крыптавалюты, якая можа абваліцца ў кошце і страціць каштоўную падтрымку.
Менавіта таму крытычная ўразлівасць і ананімны падказчык нядаўна захапілі крыптасупольнасць і прывялі да шырокага публічнага расследавання ў Twitter паміж вядучымі распрацоўшчыкамі блокчейна. Але хто менавіта стаяў за адкрыццём, якое выратавала індустрыі крыптавалют у суме больш за 650 мільёнаў долараў?
Вось падрабязнасці інцыдэнту і таго, як ён ператварыўся ў шырокі пошук аўдытарскай фірмы бяспекі блокчейна, якая стаіць за адкрыццём. Мы таксама раскрыем, хто менавіта героі.
Чаму Crypto Twitter пачаў расследаванне ў дачыненні да ананімнага падказчыка
Новыя тэхналогіі праходзяць строгія стрэс-тэсты з выкарыстаннем грамадскасці ў якасці бэта-тэстараў. Хаця часцей за ўсё каманда распрацоўшчыкаў мае самыя чыстыя намеры, нават самая маленькая ўразлівасць можа быць выкарыстана, так што нічога нельга пакінуць на камені, калі справа даходзіць да чыстага і бяспечнага кода.
Тым не менш, немагчыма чытаць загалоўкі крыпта-СМІ, не наткнуўшыся на гісторыю за гісторыяй пра мільёны долараў, страчаных за некалькі імгненняў. Пацярпелыя праекты могуць цяжка аднавіцца, і ў выніку пакутуе супольнасць. Распрацоўшчыкі звычайна затрымаліся, даносячы грамадству дрэнныя навіны пра тое, што менавіта адбылося і чаму, а потым неахвотна атрымліваюць негатыўную рэакцыю і наступствы.
Але нядаўні прыклад, які стаў папулярным у Twitter, быў адным з рэдкіх хэпі-эндаў, які захапіў сэрца крыптасупольнасці. Ананімны падказчык захаваў некалькі вядучых крыптапратаколаў — такіх як Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) і іншыя — коштам да паўмільярда долараў.
White Hat Discovery прывяло да эканоміі больш чым 650 мільёнаў долараў у крыптавалюце
Прыблізны ўрон і патэнцыйныя ахвяры ўключаюць Avalanche прыкладна ў 350 мільёнаў долараў; Abracadabra на суму каля 300 мільёнаў долараў токенаў MIM і дадатковыя 3 мільёны долараў сродкаў карыстальнікаў; Nereus Finance з амаль 60 мільёнамі долараў у токенах NXUSD; і прыкладна 100 тысяч долараў ад крэдытавання SUSHI. Існуе таксама невядомае ўздзеянне, звязанае з сеткай Boba.
Улічваючы велізарную колькасць сродкаў, якія захоўваюцца ў бяспецы, распрацоўшчыкі закранутых пратаколаў перайшлі ў Twitter у пошуках ананімнага падказчыка, які адправіў сваё адкрыццё ў ImmuneFi. Усё пачалося з асноўнага распрацоўшчыка SushiSwap Мэцью Лілі, які напісаў твіт на гэтую тэму і зрабіў расследаванне тэндэнцыяй.
Kashi Markets на Avalanche былі ўзламаныя пасля выяўлення вектара атакі, прадстаўленага папярэдняй кампіляцыяй Native Asset Call на Avalanche. Каманда Sushi змагла пацвердзіць справаздачу, адпраўленую whitehacker на @immunefi, шляхам стварэння простага PoC. 1/6
— Я праграмнае забеспячэнне 🦇🔊 (@MatthewLilley) Верасень 8, 2022
У наступныя гадзіны распрацоўшчыкі пачалі выяўляць уразлівасць і працаваць над неадкладным выпраўленнем.
1/🧙🏼♂️!
Мы атрымалі паведамленне аб магчымай уразлівасці нашых катлоў Avalanche.
Карыстальніцкія сродкі не былі страчаны, уразлівасць цяпер выпраўлена, і ўсё забеспячэнне абаронена.
📖 Даведайцеся больш пра наш пасмяротны тут👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Верасень 8, 2022
Avalanche, Abracadabra і іншыя выступаюць са сціплым героем
Толькі сёння кіраўнік інжынернага аддзела Ava Labs Патрык О'Грэйдзі звярнуўся ў Twitter, каб падзякаваць Statemind, якая пазней выступіла ў якасці фірмы па бяспецы блокчейна, каб шырока выявіць уразлівасць.
👀👀@statemindio выступіў як ананімны белы капялюш, які паведаміў камандам, якія ўдзельнічаюць у гэтым: https://t.co/MmG4hkkad7
Яшчэ раз дзякуй за ўсю вашу працу, каб папярэдзіць супольнасць аб праблеме! 🫡
— Патрык «Кран» О'Грэйдзі 🔺 (@_patrickogrady) Верасень 8, 2022
Афіцыйны акаўнт Abracadabra у Twitter таксама выказаў глыбокую падзяку за прыцягненне ўвагі да крытычнай уразлівасці і захаванне крыптасупольнасці для яшчэ адной страшылкі.
🧙🏼♂️!
Мы хацелі б выказаць вялікую падзяку аўдытарскай фірме @statemindio за паведамленне пра ўразлівасць, згаданую ў нашым апошнім паведамленні. 🔮
Дзякуючы іх справаздачы нам удалося сабраць усе сродкі і працаваць разам @avalancheavax каб выправіць уразлівасць!🔥
— 🧙🏼♂️ (@MIM_Spell) Верасень 8, 2022
Уразлівасці былі ліквідаваны ў рэкордна кароткія тэрміны. І ў Avalanche, і ў Abracadabra ёсць падзяліўся пасмяротным апісаннем сітуацыі. Іншыя закранутыя блокчейны, верагодна, рушаць услед і забяспечваюць празрыстасць для грамадства ў цэлым.
Хто стаіць за камандай White Hat Heroics?
Хто менавіта стаіць за адкрыццём? Мы звязаліся з блогерам, які таксама супрацоўнічае з кампаніяй, каб даведацца больш.
Я ведаю ананімных хакераў, якія раскрылі эксплойт @avalancheavax @MIM_Spell & @SushiSwap
зэканоміўшы 3 мільёны долараў сродкаў карыстальнікаў і 300 мільёнаў $MIM лексемы
калі вы крыптажурналіст і шукаеце каментарыяў/эксклюзіўных звестак ад каманды, якая знайшла эксплойт, дайце мне ведаць 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Верасень 8, 2022
Аўдытарская фірма па бяспецы блокчейнов Statemind прааналізавала код дзесяці вядучых пратаколаў блокчейнов у пошуках карыстацкіх прэкампіляцый, якія могуць быць патэнцыйна небяспечнымі. Як патлумачыла аўдытарская фірма па блокчейну, мінулы досвед паказаў, што карыстальніцкія папярэднія кампіляцыі могуць быць усё больш небяспечнымі ў правільным асяроддзі.
Згодна з даследаваннем, Avalanche і іншыя мелі прэкампіляцыю, «якая дазваляла маршрутызаваць адвольныя выклікі праз прэкампіляцыю, якая рэтранслюе msg.sender». Для некаторых пратаколаў гэта азначала, што кожны мог рабіць званкі ад імя кантракта пратакола.
Statemind.io з'яўляецца вядучай кампаніяй па аўдыту бяспекі блокчейнов з больш чым 100,000 10 вопытам LoC Solidity і Vyper. Гэты велізарны вопыт прывёў да атрымання TVL на суму больш за 14 мільярдаў долараў, і фірма заняла 2022-е месца ў рэйтынгу Paradigm CTF XNUMX. Дзякуючы Statemind усе «сродкі з'яўляюцца SAFU», і ў криптовалютной індустрыі з'явіўся новы белы герой.
Крыніца: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/