бреши регулярно досаждают индустрии блокчейнов и протоколам DeFi, как никогда раньше. Почти каждый день появляется очередная ужасная история о том, как хакеры выкачивают средства из известного протокола с помощью эксплойта, который можно было обнаружить заранее. Еще хуже то влияние, которое новости могут оказать на сообщество затронутой криптовалюты, которая может упасть в цене и потерять ценную поддержку.
Именно поэтому критическая уязвимость и анонимный типстер в белой шляпе недавно захватили криптосообщество и привели к широкомасштабному публичному расследованию в Твиттере между ведущими разработчиками блокчейна. Но кто именно стоял за открытием, которое спасло криптовалютную индустрию в общей сложности на сумму более 650 миллионов долларов?
Вот подробности инцидента и того, как он превратился в широкомасштабный поиск фирмы, занимающейся аудитом безопасности блокчейна, стоящей за этим открытием. Мы также покажем, кто именно является героями.
Почему Crypto Twitter начал расследование в отношении анонимного типстера
Новые технологии проходят строгие стресс-тесты с привлечением общественности в качестве бета-тестеров. Хотя чаще всего команда разработчиков имеет самые чистые намерения, даже самая крошечная уязвимость может быть использована, так что ни один камень не останется нетронутым, когда дело доходит до чистого и безопасного кода.
Тем не менее невозможно читать заголовки крипто-медиа, не наткнувшись на историю за историей о миллионах долларов, потерянных в считанные мгновения. Затронутые проекты могут с трудом восстановиться, и в результате страдает сообщество. Разработчики обычно застревают, сообщая сообществу плохие новости о том, что именно произошло и почему, а затем неохотно получают негативную реакцию и последствия.
Но недавний пример, который был в тренде в Твиттере, был одним из редких счастливых концов, который покорил сердце криптосообщества. Анонимный типстер спас несколько ведущих криптопротоколов, таких как Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) и другие, на общую сумму в полмиллиарда долларов.
White Hat Discovery сэкономил более 650 миллионов долларов в криптовалюте
Предполагаемый ущерб и потенциальные жертвы включают Лавину примерно в 350 миллионов долларов; Абракадабра на сумму около 300 миллионов долларов в токенах MIM и дополнительные 3 миллиона долларов в пользовательских средствах; Nereus Finance с токенами NXUSD почти на 60 миллионов долларов; и около 100 тысяч долларов в виде средств от кредитования SUSHI. Существует также неизвестное воздействие, связанное с сетью Boba.
Учитывая огромное количество средств, сохраненных в безопасности, разработчики затронутых протоколов обратились в Twitter в поисках анонимного информатора, который отправил свое открытие в ImmuneFi. Все началось с основного разработчика SushiSwap Мэтью Лилли, который написал в Твиттере на эту тему и сделал расследование популярным.
Kashi Markets в Avalanche были взломаны после обнаружения вектора атаки, представленного прекомпилированием Native Asset Call в Avalanche. Команда Sushi смогла проверить отчет, который был представлен вайтхакером на @иммунефи, создав простой PoC. 1/6
— Я Программное обеспечение 🦇🔊 (@MatthewLilley) 8 сентября, 2022
В последующие часы разработчики начали проявлять эффект домино, обнаруживать уязвимость и работать над ее немедленным исправлением.
1/🧙🏼♂️!
Нас уведомили о возможной уязвимости в наших котлах Avalanche.
Никакие пользовательские средства не были потеряны, уязвимость устранена, и все залоговые средства защищены.
📖 Подробнее о нашем постмортеме читайте здесь👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) 8 сентября, 2022
Avalanche, Abracadabra и другие выступают со скромным героем
Только сегодня руководитель инженерного отдела Ava Labs Патрик О'Грейди написал в Twitter, чтобы выразить благодарность Statemind, которая позже выступила в качестве фирмы по обеспечению безопасности блокчейна и широко обнаружила уязвимость.
👀👀@statemindio выступил в качестве анонимного белого шляпника, который сообщил вовлеченным командам: https://t.co/MmG4hkkad7
Еще раз спасибо за всю вашу работу по предупреждению сообщества о проблеме! 🫡
— Патрик «Кран» О'Грэйди 🔺 (@_patrickogrady) 8 сентября, 2022
Официальный аккаунт Abracadabra в Твиттере также выразил глубокую благодарность за то, что привлек внимание к критической уязвимости и спас криптосообщество от очередной ужасной истории.
🧙🏼♂️!
Выражаем огромную благодарность аудиторской компании @statemindio за сообщение об уязвимости, упомянутой в нашем последнем объявлении. 🔮
Благодаря их отчету нам удалось получить все средства и работать вместе с @avalancheavax исправить уязвимость!🔥
— 🧙🏼♂️ (@MIM_Spell) 8 сентября, 2022
Уязвимости были устранены в рекордно короткие сроки. И в Лавине, и в Абракадабре есть поделился постмортемом о ситуации. Другие затронутые блокчейны, скорее всего, последуют этому примеру и обеспечат прозрачность для сообщества в целом.
Кто стоит за The White Hat Heroics?
Кто именно является командой, стоящей за открытием? Мы связались с блогером, который также работает с компанией, чтобы узнать больше.
Я знаю анонимных хакеров, которые раскрыли эксплойт @avalancheavax @MIM_Spell & @SushiSwap
экономия 3 млн долларов в пользовательских средствах и 300 млн $ MIM лексемы
если вы криптожурналист и ищете комментарии/эксклюзивные подробности от команды, которая обнаружила эксплойт, дайте мне знать 🙂 https://t.co/3B8axWjYqS
— неиззи 🧸 (@notEezzy) 8 сентября, 2022
Фирма Statemind, занимающаяся аудитом безопасности блокчейна, проанализировала код десяти ведущих протоколов блокчейна в поисках пользовательских прекомпиляций, которые могут быть потенциально опасными. Прошлый опыт, объяснила аудиторская фирма блокчейна, показал, что пользовательские прекомпиляции могут быть все более опасными в правильной среде.
Согласно исследованию, у Avalanche и других была предварительная компиляция, «которая позволяла маршрутизировать произвольные вызовы через предварительную компиляцию, которая ретранслирует msg.sender». Для некоторых протоколов это означало, что любой мог совершать звонки от имени контракта протокола.
Statemind.io является ведущей компанией по аудиту безопасности блокчейнов с более чем 100,000 10 LoC Solidity и опытом работы с Vyper. Этот обширный опыт привел к получению TVL на сумму более 14 миллиардов долларов, и фирма заняла 2022-е место в Paradigm CTF XNUMX. Благодаря Statemind все «фонды — это SAFU», а в криптовалютной индустрии появился новый герой в белой шляпе.
Источник: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/