išnaudoja kaip niekad anksčiau nuolat kankina blockchain pramonę ir DeFi protokolus. Beveik kiekvieną dieną yra dar viena siaubinga istorija, kai įsilaužėliai išnaudojo gerai žinomą protokolą dėl išnaudojimo, kurį buvo galima sugauti iš anksto. Dar blogiau yra tai, kokį poveikį naujienos gali turėti paveiktos kriptovaliutos bendruomenei, kurios vertė gali sumažėti ir prarasti vertingą palaikymą.
Būtent dėl šios priežasties kritinis pažeidžiamumas ir anoniminis baltos kepurės patarėjas neseniai sužavėjo kriptovaliutų bendruomenę ir paskatino platų viešą tyrimą „Twitter“ tarp geriausių blokų grandinės kūrėjų. Bet kas tiksliai slypė už atradimo, kuris kriptovaliutų pramonei sutaupė daugiau nei 650 mln.
Pateikiame išsamią informaciją apie incidentą ir tai, kaip jis išsirutuliojo į plačią „blockchain“ saugumo audito įmonės, slypinčios už atradimo, paiešką. Taip pat tiksliai atskleisime, kas yra herojai.
Kodėl „Crypto Twitter“ pradėjo tyrimą dėl anoniminio patarėjo?
Naujos technologijos yra griežtai testuojamos nepalankiausiomis sąlygomis, naudojant visuomenę kaip beta versijos testuotojus. Nors dažniausiai kūrėjų komanda turi gryniausių ketinimų, net mažiausią pažeidžiamumą galima išnaudoti, kad nebūtų palikta jokių akmenų, kai kalbama apie švarų ir saugų kodą.
Vis dėlto neįmanoma perskaityti kriptovaliutų žiniasklaidos antraščių, nepastebėjus istorijos po istorijos apie milijonus dolerių, prarastų per kelias akimirkas. Paveikti projektai gali sunkiai atsigauti, o bendruomenė dėl to kenčia. Kūrėjai paprastai įstringa skelbdami bendruomenei blogas naujienas apie tai, kas tiksliai atsitiko ir kodėl, o tada nenoriai sulaukia atsakomųjų reakcijų ir pasekmių.
Tačiau neseniai „Twitter“ populiarėjantis pavyzdys buvo viena iš retų laimingų pabaigų, užkariavusių kriptovaliutų bendruomenės širdį. Anoniminis patarėjas išsaugojo kelis geriausius kriptovaliutų protokolus – tokius kaip Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) ir kitus – net pusės milijardo dolerių vertės.
„White Hat“ atradimas leidžia sutaupyti daugiau nei 650 mln. USD kriptovaliutos
Apskaičiuota žala ir galimos aukos apima laviną, kurios vertė siekia maždaug 350 mln. „Abracadabra“ už maždaug 300 mln. USD vertės MIM žetonų ir papildomų 3 mln. USD vartotojų lėšų; „Nereus Finance“ su beveik 60 mln. USD NXUSD žetonų; ir maždaug 100 XNUMX USD lėšų iš SUSHI skolinimo. Taip pat yra nežinomas poveikis, susijęs su „Bobos tinklu“.
Atsižvelgdami į didžiulį saugomų lėšų kiekį, paveiktų protokolų kūrėjai kreipėsi į Twitter, ieškodami anoniminio patarėjo, kuris jų atradimą atsiuntė ImmuneFi. Tai prasidėjo nuo SushiSwap pagrindinio kūrėjo Matthew Lilley, kuris paskelbė tviteryje šia tema ir sulaukė tyrimo tendencijų.
„Kashi Markets on Avalanche“ buvo nulaužtas po to, kai buvo atrastas atakos vektorius, įdiegtas „Native Asset Call“ išankstiniu kompiliu „Avalanche“. Sushi komanda sugebėjo patvirtinti ataskaitą, kurią pateikė „whitehacker“. @imunefi, sukurdami paprastą PoC. 1/6
- Aš esu programinė įranga 🦇🔊 (@MatthewLilley) Rugsėjis 8, 2022
Po kelių valandų kūrėjų domino efektas atskleidė pažeidžiamumą ir stengėsi nedelsiant jį pataisyti.
1/🧙🏼♂️!
Mums buvo pranešta apie galimą mūsų „Lavinos“ katilų pažeidžiamumą.
Vartotojų lėšos nebuvo prarastos, pažeidžiamumas dabar užtaisytas ir visas užstatas apsaugotas.
📖 Daugiau apie mūsų post mortem skaitykite čia👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Rugsėjis 8, 2022
„Lavina“, „Abrakadabra“ ir kiti ateina su nuolankiu herojumi
Tik šiandien „Ava Labs“ inžinerijos vadovas Patrickas O'Grady'is socialiniame tinkle „Twitter“ padėkojo „Statemind“, kuri vėliau tapo blokų grandinės saugumo įmone, plačiai aptikusią pažeidžiamumą.
👀👀@statemendio pasirodė kaip anoniminė baltoji kepurė, kuri nurodė dalyvaujančioms komandoms: https://t.co/MmG4hkkad7
Dar kartą dėkojame už jūsų darbą siekiant įspėti bendruomenę apie šią problemą! 🫡
- Patrick "The Faucet" O'Grady 🔺 (@_patrickogrady) Rugsėjis 8, 2022
Oficiali „Abracadabra“ „Twitter“ paskyra taip pat išreiškė gilų padėką už atkreiptą dėmesį į kritinį pažeidžiamumą ir išgelbėjusį kriptovaliutų bendruomenę dar vienai siaubo istorijai.
🧙🏼♂️!
Norime nuoširdžiai padėkoti audito įmonei @statemendio už pranešimą apie naujausiame pranešime paminėtą pažeidžiamumą. 🔮
Jų ataskaitos dėka mums pavyko užsitikrinti visas lėšas ir dirbti kartu @valancheavax pažeidžiamumui užtaisyti!🔥
— 🧙🏼♂️ (@MIM_Spell) Rugsėjis 8, 2022
Pažeidžiamumas buvo ištaisytas per rekordiškai trumpą laiką. Tiek Avalanche, tiek Abrakadabra turi pasidalino post mortem apie situaciją. Tikėtina, kad kitos paveiktos blokų grandinės seks ir suteiks skaidrumo visai bendruomenei.
Kas yra „White Hat Heroics“ komanda?
Kas tiksliai yra už atradimo komanda? Susisiekėme su tinklaraštininku, kuris taip pat dirba su įmone, norėdami sužinoti daugiau.
Pažįstu anoniminius įsilaužėlius, kurie atskleidė išnaudojimą @valancheavax @MIM_Spell & @SushiSwap
sutaupyti 3 mln. USD vartotojų lėšų ir 300 mln $ME žetonų
Jei esate kriptovaliutų žurnalistas, ieškantis komentarų / išskirtinės informacijos iš komandos, kuri rado išnaudojimą, praneškite man 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Rugsėjis 8, 2022
„Blockchain“ saugumo audito įmonė „Statemind“ peržiūrėjo dešimties geriausių „blockchain“ protokolų kodą, ieškodama pasirinktinių išankstinių kompiliacijų, kurios gali būti potencialiai pavojingos. „Blockchain“ audito įmonė paaiškino, kad ankstesnė patirtis parodė, kad pasirinktiniai išankstiniai kompiliavimai gali būti vis pavojingesni tinkamoje aplinkoje.
Remiantis tyrimu, „Avalanche“ ir kiti turėjo išankstinį kompiliavimą, „kuri leido savavališkus skambučius nukreipti per išankstinį kompiliavimą, kuris perduoda msg.sender“. Kai kuriems protokolams tai reiškė, kad bet kas galėjo skambinti protokolo sutarties vardu.
Statemind.io yra pirmaujanti blokų grandinės saugumo audito įmonė, turinti daugiau nei 100,000 10 Solidity ir Vyper patirties. Dėl šios didžiulės patirties TVL buvo užtikrinta daugiau nei 14 mlrd. USD, o įmonė užėmė 2022 vietą Paradigm CTF XNUMX. „Statemind“ dėka visi „lėšos yra SAFU“, o kriptovaliutų pramonė turi naują baltos kepurės herojų.
Šaltinis: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/