експлоатира редовно ја мачат блокчејн индустријата и протоколите DeFi како никогаш досега. Речиси секој изминат ден има уште една хорор приказна за добро познат протокол кој хакерите го исцрпуваат од средства преку експлоатација што можела однапред да биде фатена. Уште полошо е влијанието што вестите може да го имаат врз заедницата на погодената криптовалута, која може да падне во вредноста и да изгуби вредна поддршка.
Токму ова е причината зошто критична ранливост и анонимен советник за бели шапки неодамна ја воодушевија крипто заедницата и доведоа до широка јавна истрага на Твитер помеѓу врвните развивачи на блокчејн. Но, кој точно стоеше зад откритието што ја спаси индустријата за криптовалути со вкупна вредност од над 650 милиони долари?
Еве ги деталите за инцидентот и како тој се претвори во широко распространета потрага по ревизорската фирма за безбедност на блокчејн зад откритието. Ќе откриеме и точно кои се хероите.
Зошто Крипто Твитер започна истрага за анонимен советник
Новите технологии се ставаат низ ригорозни стрес тестови користејќи ја јавноста како бета-тестери. Иако најчесто развивачкиот тим има најчисти намери, дури и најситната ранливост може да се искористи за да не може да се остави никаков камен кога станува збор за чист и безбеден код.
Сепак, невозможно е да се читаат наслови на крипто медиуми без да се сопнуваме на приказна по приказна за изгубени милиони долари за неколку моменти. Засегнатите проекти може да се борат да закрепнат, а заедницата страда како резултат. Програмерите обично се заглавени да ги доставуваат лошите вести на заедницата за тоа што точно се случило и зошто, а потоа неволно ги добиваат реакциите и последиците.
Но, неодамнешниот пример што беше тренд на Твитер беше еден од ретките среќни завршетоци што го освои срцето на крипто заедницата. Анонимен советувач зачувал неколку врвни крипто протоколи - како Лавина (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) и други - во вредност од дури половина милијарда долари.
Откривањето на белата капа води до повеќе од 650 милиони долари заштедени криптовалути
Проценетите штети и потенцијалните жртви вклучуваат лавина од околу 350 милиони американски долари; Абракадабра во вредност од околу 300 милиони долари МИМ токени и дополнителни 3 милиони долари во кориснички средства; Nereus Finance со скоро 60 милиони долари во NXUSD токени; и околу 100 $ во средства од SUSHI заеми. Има и непознато влијание поврзано со мрежата Боба.
Со оглед на огромната сума на средства што се чуваат безбедни, развивачите на засегнатите протоколи излегоа на Твитер во потрага по анонимниот советувач кој го испрати нивното откритие до ImmuneFi. Започна со СушиСвоп јадрото, Метју Лили, кој твитна на темата и го доби трендот на истрагата.
Kashi Markets on Avalanche беа пробиени по откривањето на вектор за напад воведен од прекомпајлот Native Asset Call на Avalanche. Тимот за суши можеше да го потврди извештајот, кој беше поднесен од вајтхакер на @immunefi, со изработка на едноставен PoC. 1/6
— Јас сум софтвер 🦇🔊 (@MatthewLilley) Септември 8, 2022
Во следните часови, домино-ефект на програмери почна да се појавува и да ја открие ранливоста и да работи на итно поправка.
1/🧙🏼♂️!
Известени сме за можна ранливост на нашите котли од Лавина.
Ниту еден кориснички фонд не е изгубен, ранливоста сега е закрпена и целиот колатерал е обезбеден.
📖 Прочитајте повеќе за нашата пост-мортема овде👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Септември 8, 2022
Лавина, Абракадабра и други доаѓаат напред со скромниот херој
Дури денес, шефот на инженерството на Ава Лабс, Патрик О'Грејди, се огласи на Твитер за да изрази благодарност до Statemind, која подоцна истапи како безбедносна фирма за блокчејн за да ја открие ранливоста нашироко.
👀👀@statemindio се појави како анонимниот whitehat кој ги информираше вклучените тимови: https://t.co/MmG4hkkad7
Ви благодариме уште еднаш за целата ваша работа да ја известите заедницата за проблемот! 🫡
— Патрик „Каната“ О'Грејди 🔺 (@_patrickogrady) Септември 8, 2022
Официјалната сметка на Твитер на Абракадабра, исто така, ја изрази својата длабока благодарност што го привлече вниманието на критичната ранливост и ја спаси крипто заедницата за уште една хорор приказна.
🧙🏼♂️!
Би сакале длабоко да и се заблагодариме на ревизорската куќа @statemindio за пријавување на ранливоста спомената во нашата последна објава. 🔮
Благодарение на нивниот извештај успеавме да ги обезбедиме сите средства и да работиме заедно @avalancheavax да ја закрпи ранливоста!🔥
— 🧙🏼♂️ (@MIM_Spell) Септември 8, 2022
Пропустите беа поправени за рекордно време. И Лавина и Абракадабра имаат сподели пост мортам за ситуацијата. Други засегнати блокчејнови веројатно ќе следат и ќе обезбедат транспарентност на заедницата во целина.
Кој е тимот кој стои зад хероите со бела капа?
Кој точно стои зад откритието? Бевме во контакт со блогер кој исто така работи со компанијата за да дознаеме повеќе.
Ги познавам анонимните хакери на кои им ја открија експлоатацијата @avalancheavax @MIM_Spell & @SushiSwap
заштеда на 3 милиони долари од кориснички средства и 300 милиони $MIM токени
ако сте крипто-новинар и барате коментари/ексклузивни детали од тимот што го нашол експлоатот известете ми 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Септември 8, 2022
Ревизорската фирма за безбедност на блокчејн, Statemind, го разгледа кодот на десет врвни блокчејн протоколи во потрага по сопствени прекомпајли кои би можеле да бидат потенцијално опасни. Искуствата од минатото, објасни ревизорската фирма за блокчејн, покажаа дека сопствените прекомпајли може да бидат сè поопасни во вистинската средина.
Според истражувањето, Avalanche и други имале прекомпајл „кој дозволувал произволни повици да се пренасочуваат преку прекомпајлот што пренесува msg.sender“. За некои протоколи, тоа значеше дека секој може да се јавува во име на договорот на протоколот.
Statemind.io е водечка компанија за ревизија на безбедноста на блокчејн со над 100,000 LoC на цврстина и Vyper искуство. Ова огромно искуство доведе до обезбедување на повеќе од 10 милијарди долари во TVL, а фирмата се најде на 14-тото место во парадигмата CTF 2022 година. Благодарение на Statemind, сите „средства се SAFU“, а индустријата за криптовалути има нов херој со бела капа.
Извор: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/