Saugumo tyrinėtojas aptiko programinės įrangos pažeidžiamumą, kurį buvo galima panaudoti ir pavogti net 200 mln. USD iš trijų su „Ethereum“ suderinamų „Polkadot“ parašiutų – „Moonbeam“, „Astar Network“ ir Acala.
Tyrėjas, žinomas kaip pwning.eth, aptiko ir pranešė apie kritinį pažeidžiamumą birželio mėn., kai programa buvo pristatyta, programinėje įrangoje, pavadintoje Frontier, kuri naudojama „apvynioti“ vietinius žetonus trijuose „Blockchain“ projektuose (arba parachainuose) „Polkadot“. tinklą. Ataskaita buvo pateikta kriptografinėje klaidų paieškos platformoje „Immunefi“ birželio 27 d., tačiau paskelbta tik neseniai.
„Pwning.eth rado klaidą, paveikusią visą Polkadot ekosistemą ir leidžiančią įsilaužėliams pavogti daugiau nei 200 mln. USD per Moonbeam, Astar Network ir Acala“, – „The Block“ pasakojo Immunefi atstovas. „Jie visi buvo pažeidžiami dėl klaidos, kuri galėjo leisti piktybiniams vartotojams nukalti supakuotus vietinius žetonus.
Šiuo atveju įvyniojimas yra procesas, kurio metu „blockchains“ kriptovaliutų turtas konvertuojamas į žetonus, kuriuos gali lengviau palaikyti programos. Tai atliekama naudojant išmaniąją sutartį, kurioje vietiniai žetonai laikomi sąlyginio deponavimo sistemoje ir vartotojui išduodami suvynioti žetonai.
Trijų grandinių pažeidžiamumu buvo galima piktnaudžiauti kaldinant neribotą skaičių suvyniotų žetonų, įskaitant suvyniotą astar (WASTR) ant Astar, suvyniotą mėnulio spindulį (WGLMR) ant Moonbeam ir suvyniotą mėnulio spindulį (WMOVR) Moonriver, seseriniame Moonbeam tinkle.
Apskaičiuota turto, kuriam buvo atskleistas pažeidžiamumas, vertė buvo apie 200 mln. Po to, kai buvo pranešta apie pažeidžiamumą, trys „parachain“ komandos stengėsi jį ištaisyti ir išleido avarinį pataisą, kol piktybiški veikėjai nespėjo juo pasinaudoti. Lėšos nebuvo prarastos.
„Moonbeam“ ir „Astar“, kurios kartu su „Immunefi“ vykdo aktyvias klaidų mažinimo programas, skyrė 1 mln. USD etiškam įsilaužėliui per „Immunefi“. „Parity“, „Frontier Library“ kūrėja, nusprendė skirti 250,000 1 USD, kad gautų XNUMX mln. USD atlygį, nepaisant to, kad „Immunefi“ neturėjo klaidų.
Pwning.eth nėra svetima rasti kritinių klaidų ir gauti dideles sumas. 2022 m. pradžioje baltos kepurės įsilaužėlis buvo apdovanotas a 6 milijonų dolerių užmokestis atradus pažeidžiamumą „Aurora“, su EVM suderinama NEAR protokolo blokų grandinė, tuo metu sutaupius apie 70,000 210 ETH, kurios vertė XNUMX mln.
© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss