hasznosítja rendszeresen sújtják a blokklánc-ipart és a DeFi protokollokat, mint még soha. Szinte napról napra elhangzik egy újabb rémtörténet arról, hogy egy jól ismert protokollból a hackerek elszívják a pénzüket egy olyan kizsákmányolással, amelyet előre el lehetett volna fogni. Még rosszabb, hogy a hírek milyen hatással lehetnek az érintett kriptovaluta közösségére, amely összeomolhat az értékében és elveszítheti az értékes támogatást.
Pontosan ez az oka annak, hogy egy kritikus sérülékenység és egy névtelen fehér kalap tippadó ragadta meg a közelmúltban a kriptográfiai közösséget, és széleskörű nyilvános nyomozáshoz vezetett a Twitteren a legjobb blokklánc-fejlesztők között. De pontosan ki állt a felfedezés mögött, amely összesen több mint 650 millió dollár értékben takarította meg a kriptovaluta iparágat?
Íme az incidens részletei, és az, hogy az hogyan vált a felfedezés mögött álló blokklánc-biztonsági könyvvizsgáló cég széles körű felkutatásába. Azt is eláruljuk, hogy pontosan kik a hősök.
Miért indított vizsgálatot a Crypto Twitter egy névtelen tippadó ellen?
A feltörekvő technológiákat szigorú stresszteszteknek vetik alá, a nyilvánosságot béta tesztelőként. Bár gyakran a fejlesztőcsapatnak a legtisztább szándékai vannak, még a legapróbb sebezhetőség is kihasználható, így nem maradhat szó nélkül a tiszta és biztonságos kódról.
Mégsem lehet olvasni a kriptográfiai média címsorait anélkül, hogy ne botlanánk bele pillanatok alatt elveszett dollármilliók történetébe. Az érintett projektek nehezen tudnak felépülni, és ennek következtében a közösség szenved. A fejlesztők általában elakadnak abban, hogy rossz híreket közöljenek a közösséggel arról, hogy pontosan mi és miért történt, majd vonakodva fogadják a visszahatást és a kiesést.
Ám egy nemrégiben felkapott példa a Twitteren a ritka happy end egyike volt, amely megragadta a kriptográfiai közösség szívét. Egy névtelen tippadó félmilliárd dollár értékben megmentett több vezető kriptográfiai protokollt – például az Avalanche-t (AVAX), az Abracadabra-t (MIM), a SushiSwap-ot (SUSHI) és másokat.
A White Hat felfedezése több mint 650 millió dollár kriptovalutát takarít meg
A becsült károk és a lehetséges áldozatok közé tartozik az Avalanche nagyjából 350 millió dollárra; Abracadabra körülbelül 300 millió dollár értékű MIM tokennel és további 3 millió dollár felhasználói forrással; Nereus Finance közel 60 millió dolláros NXUSD tokennel; és nagyjából 100 XNUMX dollárnyi forrás a SUSHI hitelezésből. A Boba hálózathoz kapcsolódik egy ismeretlen hatás is.
Tekintettel a biztonságban tartott hatalmas összegre, az érintett protokollok fejlesztői a Twitteren keresték a névtelen tippadót, aki elküldte felfedezésüket az ImmuneFi-nek. A SushiSwap főfejlesztőjével, Matthew Lilley-vel kezdődött, aki Twitteren írt a témáról, és felkapta a nyomozást.
A Kashi Markets-t az Avalanche-on feltörték egy támadási vektor felfedezése után, amelyet a Native Asset Call előfordítása vezetett be az Avalanche-on. A Sushi csapata hitelesíteni tudta a jelentést, amelyet egy whitehacker nyújtott be @immunefi, egyszerű PoC elkészítésével. 1/6
— Szoftver vagyok 🦇🔊 (@MatthewLilley) 8. szeptember 2022.
A következő órákban a fejlesztők dominóeffektusa kezdett felbukkanni, felfedve a sebezhetőséget, és azonnali javításon dolgoztak.
1/🧙🏼♂️!
Értesítést kaptunk az Avalanche üstjeink lehetséges sebezhetőségéről.
Egyetlen felhasználói pénz sem veszett el, a sérülékenységet kijavították, és minden biztosítékot biztosítottak.
📖 Post mortemről itt olvashat bővebben👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) 8. szeptember 2022.
Avalanche, Abracadabra és mások jönnek elő a szerény hőssel
Egészen a mai napig, amikor az Ava Labs mérnöki részlegének vezetője, Patrick O'Grady a Twitteren köszönetet mondott a Statemindnek, amely később blokklánc biztonsági cégként lépett előre a sérülékenység széles körben történő felfedezése érdekében.
👀👀@statemindio névtelen fehérkalapként jelentkezett, aki tippelt az érintett csapatoknak: https://t.co/MmG4hkkad7
Ezúton is köszönjük minden munkáját, amellyel felhívta a közösség figyelmét a problémára! 🫡
— Patrick "The Faucet" O'Grady 🔺 (@_patrickogrady) 8. szeptember 2022.
A hivatalos Abracadabra Twitter-fiók is mély köszönetét fejezte ki, amiért felhívták a figyelmet a kritikus sebezhetőségre, és megmentették a kriptoközösséget egy újabb horror történettől.
!
Ezúton is szeretnénk köszönetet mondani a könyvvizsgáló cégnek @statemindio a legutóbbi közleményünkben említett sebezhetőség bejelentéséért. 🔮
Jelentésüknek köszönhetően sikerült minden forrást megszereznünk és együttműködnünk @valancheavax hogy befoltozza a sebezhetőséget!🔥
— 🧙🏼♂️ (@MIM_Spell) 8. szeptember 2022.
A sérülékenységeket rekordidő alatt javították ki. Az Avalanche és az Abracadabra is rendelkezik megosztott egy post mortem a helyzetről. Valószínűleg más érintett blokkláncok is követik őket, és átláthatóságot biztosítanak a közösség számára.
Ki a csapat a White Hat Heroics mögött?
Ki áll pontosan a felfedezés mögött álló csapat? Felvettük a kapcsolatot egy bloggerrel, aki szintén a céggel dolgozik, hogy többet tudjunk meg.
Ismerem a névtelen hackereket, akik felfedték a kizsákmányolást @valancheavax @ME_Spell & @SushiSwap
3 millió dollár megtakarítás a felhasználói alapon és 300 millió $ME tokenek
Ha Ön kripto-újságíró, aki megjegyzéseket/exkluzív részleteket keres az exploitot megtaláló csapattól, tudassa velem 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) 8. szeptember 2022.
A blokklánc biztonsági könyvvizsgáló cég, a Statemind áttekintette a tíz legnépszerűbb blokklánc protokoll kódját, hogy olyan egyedi előfordításokat keressen, amelyek potenciálisan veszélyesek lehetnek. A múltbeli tapasztalatok – magyarázta a blokklánc könyvvizsgáló cég – azt mutatták, hogy az egyéni előfordítások egyre veszélyesebbek lehetnek a megfelelő környezetben.
A kutatás szerint az Avalanche és mások rendelkeztek egy előfordítással, „amely lehetővé tette tetszőleges hívások átirányítását az msg.sendert közvetítő előfordításon keresztül”. Egyes protokollok esetében ez azt jelentette, hogy a protokoll szerződése nevében bárki hívhat.
Statemind.io vezető blokklánc biztonsági auditáló cég, több mint 100,000 10 LoC Solidity és Vyper tapasztalattal. Ez a hatalmas tapasztalat több mint 14 milliárd dollár TVL-t biztosított, és a cég a 2022. helyet szerezte meg a Paradigm CTF XNUMX-ben. A Statemindnek köszönhetően minden „alap SAFU”, és a kriptovaluta-ipar új, fehér kalapos hőssel rendelkezik.
Forrás: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/