exploity pravidelně sužují blockchainový průmysl a protokoly DeFi jako nikdy předtím. Téměř každý den se objeví další hororový příběh o známém protokolu, kterému hackeři odčerpávají finanční prostředky prostřednictvím exploitu, který mohl být zachycen předem. Ještě horší je dopad, jaký mohou mít zprávy na komunitu dotčené kryptoměny, která může spadnout na hodnotu a ztratit cennou podporu.
To je přesně důvod, proč kritická zranitelnost a anonymní tipér bílého klobouku nedávno zaujaly krypto komunitu a vedly k rozsáhlému veřejnému vyšetřování na Twitteru mezi předními vývojáři blockchainu. Ale kdo přesně stál za objevem, který zachránil kryptoměnovému průmyslu dohromady hodnotu více než 650 milionů dolarů?
Zde jsou podrobnosti o incidentu a o tom, jak se spirála rozšířila do rozsáhlého pátrání po firmě zabývající se auditem zabezpečení blockchainu za objevem. Prozradíme také, kdo přesně jsou hrdinové.
Proč Crypto Twitter zahájil vyšetřování anonymního tipéra
Rozvíjející se technologie procházejí přísnými zátěžovými testy s využitím veřejnosti jako beta testerů. Přestože má vývojový tým často ty nejčistší úmysly, lze zneužít i tu nejmenší zranitelnost, takže pokud jde o čistý a bezpečný kód, nezůstanou žádné kameny na kameni.
Přesto je nemožné číst titulky krypto médií, aniž byste naráželi na příběh za příběhem o milionech dolarů ztracených během několika okamžiků. Postižené projekty se mohou obtížně zotavovat a komunita v důsledku toho trpí. Vývojáři se obvykle zasekli při předávání špatných zpráv komunitě o tom, co se přesně stalo a proč, a pak neochotně přijímají reakce a dopady.
Ale nedávný příklad, který byl trendem na Twitteru, byl jedním z mála šťastných konců, který uchvátil srdce krypto komunity. Anonymní tipér ušetřil několik špičkových krypto protokolů – například Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) a další – v hodnotě až půl miliardy dolarů.
White Hat Discovery vede k úspoře více než 650 milionů dolarů v kryptoměně
Odhadované škody a potenciální oběti zahrnují Avalanche ve výši zhruba 350 milionů dolarů; Abracadabra v hodnotě přibližně 300 milionů USD tokenů MIM a dalších 3 miliony USD v uživatelských prostředcích; Nereus Finance s téměř 60 miliony $ v NXUSD tokenech; a zhruba 100 tisíc dolarů ve finančních prostředcích z půjček SUSHI. Existuje také neznámý dopad související se sítí Boba.
Vzhledem k obrovskému množství finančních prostředků, které byly v bezpečí, se vývojáři dotčených protokolů obrátili na Twitter a hledali anonymního tipéra, který jejich objev zaslal ImmuneFi. Začalo to hlavním vývojářem SushiSwap Matthew Lilley, který na toto téma tweetoval a dostal do trendu vyšetřování.
Kashi Markets on Avalanche byly hacknuty po objevení útočného vektoru zavedeného předkompilací Native Asset Call na Avalanche. Tým Sushi byl schopen ověřit zprávu, kterou odeslal whitehacker dne @immunefi, vytvořením jednoduchého PoC. 1/6
— Jsem Software 🦇🔊 (@MatthewLilley) Září 8, 2022
V následujících hodinách se začal objevovat dominový efekt vývojářů, kteří odhalovali zranitelnost a pracovali na okamžité opravě.
1/🧙🏼♂️!
Byli jsme upozorněni na možnou zranitelnost na našich kotlích Avalanche.
Žádné uživatelské prostředky nebyly ztraceny, zranitelnost je nyní opravena a veškeré zajištění bylo zajištěno.
📖 Více o naší post mortem si přečtěte zde👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Září 8, 2022
Avalanche, Abracadabra a další přicházejí s pokorným hrdinou
Až dnes, když vedoucí inženýrství Ava Labs Patrick O'Grady na Twitteru vyjádřil poděkování společnosti Statemind, která později vystoupila vpřed jako bezpečnostní firma pro blockchain, aby tuto zranitelnost široce objevila.
👀👀@statemindio vystoupil jako anonymní whitehat, který upozornil zúčastněné týmy: https://t.co/MmG4hkkad7
Ještě jednou vám děkujeme za veškerou vaši práci při upozornění komunity na problém! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) Září 8, 2022
Oficiální Twitter účet Abracadabra také vyjádřil své hluboké poděkování za to, že upozornil na kritickou zranitelnost a zachránil kryptokomunitu pro další hororový příběh.
🧙🏼♂️!
Rádi bychom auditorské firmě hluboce poděkovali @statemindio za nahlášení chyby zabezpečení uvedené v našem posledním oznámení. 🔮
Díky jejich zprávě se nám podařilo zajistit všechny finanční prostředky a spolupracovat s nimi @avalancheavax opravte zranitelnost!🔥
— 🧙🏼♂️ (@MIM_Spell) Září 8, 2022
Chyby byly opraveny v rekordním čase. Avalanche i Abracadabra mají sdílel post mortem o situaci. Další dotčené blockchainy budou pravděpodobně následovat a zajistí transparentnost celé komunitě.
Kdo je tým za White Hat Heroics?
Kdo přesně stojí tým za objevem? Byli jsme v kontaktu s blogerem, který také spolupracuje se společností, abychom se dozvěděli více.
Znám anonymní hackery, kteří tento exploit odhalili @avalancheavax @ME_Spell & @SushiSwap
úspora 3 milionů dolarů v uživatelských prostředcích a 300 milionů $ MIM tokeny
pokud jste krypto novinář a hledáte komentáře/exkluzivní podrobnosti od týmu, který exploit našel, dejte mi vědět 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Září 8, 2022
Firma Statemind zabývající se auditem zabezpečení blockchainu přezkoumala kód deseti nejlepších blockchainových protokolů při hledání vlastních prekompilací, které by mohly být potenciálně nebezpečné. Minulé zkušenosti, vysvětlila blockchainová auditorská firma, ukázaly, že vlastní předkompilace mohou být ve správném prostředí stále nebezpečnější.
Podle výzkumu měli Avalanche a další předkompilaci, „která umožňovala směrování libovolných hovorů přes předkompilaci, která přenáší msg.sender“. U některých protokolů to znamenalo, že kdokoli mohl volat jménem smlouvy protokolu.
Statemind.io je přední společnost zabývající se bezpečnostním auditem blockchainu s více než 100,000 10 zkušenostmi z LoC Solidity a Vyper. Tato obrovská zkušenost vedla k zajištění více než 14 miliard $ v TVL a firma se umístila na 2022. místě v Paradigm CTF XNUMX. Díky Statemindu jsou všechny „fondy SAFU“ a kryptoměnový průmysl má nového hrdinu v bílém klobouku.
Zdroj: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/