„Port Finance“, Solanoje pagrįstas skolinimo protokolas, išmokėjo 630,000 25 USD premiją baltos kepurės įsilaužėliui, kuris padėjo išvengti galimo XNUMX mln. USD pažeidžiamumo iš platformos. trečiadienį paskelbė kibernetinio saugumo įmonė „Halborn“..
Įsilaužėlis gavo 450,000 XNUMX USD iš PORT, naudingumo prieigos raktą, maitinantį skolinimo protokolą, ir 180,000 XNUMX USD „fiat“, o tai žymi projekto „bounty“ programos pabaigą.
„White-hat“ įsilaužėlis yra kompiuterių įsilaužėlis, kuris naudojasi savo techninėmis žiniomis ir patirtimi, kad pagerintų saugumą, atskleisdamas klaidas ir spragas.
Kaip tai atsitiko
Halbornas paaiškino toliau Twitter kad balta skrybėlė, pavadinta nojob, aptiko „Port Finance“ spragą, dėl kurios blogieji aktoriai būtų išnaudoję 25 mln. Jei taip būtų nutikę, Portas būtų tik dar viena nesibaigiančių DeFi įsilaužimų kriptovaliutų pramonėje auka.
Baltosios kepurės įsilaužėlis šią klaidą aptiko kovo mėnesį o naršydamas internete ir nedelsdamas apie tai pranešė Solana platformai per „Web3“ klaidų platformą „ImmuneFi“.
Halbornas pažymėjo, kad Porto puolimas būtų buvęs įmanomas dėl protokolo dizaino leidžia „bandams nustatyti premijų normą už likviduojamą turtą ir ribą, dėl kurios paskolos tampa pažeidžiamos likvidavimui“. Be to, protokolas leidžia likvidatoriui pasitraukti iki „50% skolintos įsipareigojimo vertės ir nurodytos premijos.
Dauguma kriptovaliutų DeFi skolintojų siūlo paskolas, kurių paskolos ir vertės (LTV) santykis yra mažesnis nei vienas, o tai reiškia, kad užstatas yra vertingesnis už pačią paskolą. Paskola tampa likviduojama, jei jos užstato vertė nukrenta per žemai dėl didelio LTV, aiškino Halbornas.
Pavyzdžiui, užpuolikas būtų galėjęs panaudoti šį metodą, kad išnaudotų „Port Finance“, eidamas į rezervus su didelėmis premijų normomis R1 ir žemu LTV, kur vertės sumuojamos daugiau nei 100%. Tada įneškite šiek tiek lėšų į R1 ir kelias didesnes sumas į R2.
Tada išnaudotojas imtų paskolą iš R2, tiek pat lėšų, esančių R1, o tada eitų toliau, kad padengtų R2 užstatą, todėl įsipareigojimas būtų likviduojamas.
Kibernetinio saugumo įmonė pažymėjo, kad „Port Finance“ klaidą ištaisė „pakeitusi maksimalios išėmimo vertės apskaičiavimą nuo 50 %, kad būtų pagrįsta santykiu tarp maksimalios leistinos įsipareigojimo skolinimosi vertės, faktinės pasiskolintos vertės ir rezervo L2V. “
Tuo tarpu tai ne pirmas kartas, kai baltos kepurės įsilaužėlis buvo apdovanotas už klaidos nustatymą. Anksčiau šiais metais pirmaujanti kriptovaliutų prekybos platforma „Coinbase“ sumokėjo 250,000 XNUMX USD premiją už baltą skrybėlę už tai, kad padėjo išvengti „rinkos nukenksminimo“ klaidos biržoje.
Šaltinis: https://coinfomania.com/port-finance-pays-white-hat-hacker-630k/#utm_source=rss&%23038;utm_medium=rss&%23038;utm_campaign=port-finance-pays-white-hat-hacker -630 tūkst