exploity pravidelne sužujú blockchainový priemysel a protokoly DeFi ako nikdy predtým. Takmer každý deň sa objaví ďalší hororový príbeh o známom protokole, ktorý hackeri odčerpali z prostriedkov prostredníctvom exploitu, ktorý mohol byť chytený vopred. Ešte horší je dopad, ktorý môžu mať správy na komunitu dotknutej kryptomeny, ktorej hodnota sa môže prepadnúť a stratiť cennú podporu.
To je presne dôvod, prečo kritická zraniteľnosť a anonymný tipér bielych klobúkov nedávno zaujali krypto komunitu a viedli k rozsiahlemu verejnému vyšetrovaniu na Twitteri medzi špičkovými vývojármi blockchainu. Ale kto presne stál za objavom, ktorý zachránil kryptomenovému priemyslu spolu hodnotu viac ako 650 miliónov dolárov?
Tu sú podrobnosti o incidente a o tom, ako sa to zvrhlo do rozsiahleho hľadania firmy zaoberajúcej sa auditom bezpečnosti blockchainu za objavom. Prezradíme tiež, kto presne sú hrdinovia.
Prečo Crypto Twitter spustil vyšetrovanie anonymného tipéra
Rozvíjajúce sa technológie sú podrobené prísnym záťažovým testom, pri ktorých je verejnosť ako beta testeri. Aj keď má vývojový tím väčšinou tie najčistejšie úmysly, možno zneužiť aj tú najmenšiu zraniteľnosť, takže pokiaľ ide o čistý a bezpečný kód, nezostanú žiadne kamene na kameni.
Napriek tomu je nemožné čítať titulky krypto médií bez toho, aby ste narazili na príbeh za príbehom o miliónoch dolárov stratených v priebehu niekoľkých okamihov. Postihnuté projekty sa môžu ťažko zotaviť a v dôsledku toho trpí komunita. Vývojári zvyčajne uviazli v poskytovaní zlých správ komunite o tom, čo sa presne stalo a prečo, a potom neochotne prijímajú spätnú reakciu a dôsledky.
Ale nedávny príklad, ktorý bol trendom na Twitteri, bol jedným zo zriedkavých šťastných koncov, ktoré chytili srdce krypto komunity. Anonymný tipér ušetril niekoľko špičkových krypto protokolov – ako napríklad Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) a ďalšie – v hodnote až pol miliardy dolárov.
White Hat Discovery vedie k ušetreniu viac ako 650 miliónov dolárov v kryptomene
Odhadované škody a potenciálne obete zahŕňajú Avalanche vo výške zhruba 350 miliónov USD; Abracadabra v hodnote približne 300 miliónov USD tokenov MIM a ďalších 3 milióny USD v používateľských prostriedkoch; Nereus Finance s takmer 60 miliónmi $ v NXUSD tokenoch; a zhruba 100 XNUMX $ vo fondoch z pôžičiek SUSHI. Neznámy vplyv súvisí aj so sieťou Boba.
Vzhľadom na obrovské množstvo prostriedkov, ktoré boli v bezpečí, vývojári dotknutých protokolov začali na Twitteri hľadať anonymného tipéra, ktorý ich objav poslal do ImmuneFi. Začalo to hlavným vývojárom SushiSwap Matthewom Lilleyom, ktorý na túto tému tweetoval a dostal sa do trendov vyšetrovania.
Kashi Markets on Avalanche boli napadnuté po objavení útočného vektora zavedeného predkompiláciou Native Asset Call na Avalanche. Tímu Sushi sa podarilo overiť správu, ktorú odoslal whitehacker dňa @immunefi, vytvorením jednoduchého PoC. 1/6
— Som softvér 🦇🔊 (@MatthewLilley) September 8, 2022
V nasledujúcich hodinách sa začal objavovať dominový efekt vývojárov, ktorý odhalil zraniteľnosť a pracoval na okamžitej oprave.
1/🧙🏼♂️!
Boli sme upozornení na možnú zraniteľnosť našich kotlov Avalanche.
Žiadne prostriedky používateľov sa nestratili, zraniteľnosť je teraz opravená a všetka záruka je zabezpečená.
📖 Prečítajte si viac o našej post mortem tu👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra a iní prichádzajú vpred s Humble Hero
Až dnes, keď vedúci inžinierstva Ava Labs Patrick O'Grady na Twitteri vyjadril vďaku Statemind, ktorá neskôr vykročila vpred ako bezpečnostná firma blockchainu, aby túto zraniteľnosť široko odhalila.
👀👀@statemindio vystúpil ako anonymný whitehat, ktorý upozornil zúčastnené tímy: https://t.co/MmG4hkkad7
Ešte raz vám ďakujeme za všetku vašu prácu na upozorňovaní komunity na problém! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) September 8, 2022
Oficiálny Twitter účet Abracadabra tiež vyjadril svoje hlboké poďakovanie za to, že upozornil na kritickú zraniteľnosť a zachránil kryptokomunitu pre ďalší hororový príbeh.
🧙🏼♂️!
Radi by sme sa úprimne poďakovali audítorskej spoločnosti @statemindio za nahlásenie chyby zabezpečenia uvedenej v našom najnovšom oznámení. 🔮
Vďaka ich správe sa nám podarilo zabezpečiť všetky prostriedky a spolupracovať @avalancheavax opraviť zraniteľnosť!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Chyby boli opravené v rekordnom čase. Avalanche aj Abracadabra majú zdieľal pitvu o situácii. Ďalšie ovplyvnené blockchainy budú pravdepodobne nasledovať a poskytnú transparentnosť celej komunite.
Kto je tím za hrdinstvom White Hat?
Kto presne stojí za objavom? Boli sme v kontakte s blogerom, ktorý tiež spolupracuje so spoločnosťou, aby sme sa dozvedeli viac.
Poznám anonymných hackerov, ktorí tento exploit prezradili @avalancheavax @MIM_Spell & @SushiSwap
úspora 3 miliónov dolárov v používateľských fondoch a 300 miliónov $ MIM tokeny
ak ste krypto novinár a hľadáte komentáre/exkluzívne detaily od tímu, ktorý našiel exploit, dajte mi vedieť 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Spoločnosť Statemind zaoberajúca sa auditom bezpečnosti blockchainu preskúmala kód desiatich špičkových protokolov blockchainu pri hľadaní vlastných predkompilácií, ktoré by mohli byť potenciálne nebezpečné. Minulé skúsenosti, vysvetlila blockchainová audítorská firma, ukázali, že vlastné predkompilácie môžu byť v správnom prostredí čoraz nebezpečnejšie.
Podľa výskumu mali Avalanche a ďalší predkompiláciu, „ktorá umožňovala smerovať ľubovoľné hovory cez predkompiláciu, ktorá prenáša msg.sender“. Pre niektoré protokoly to znamenalo, že ktokoľvek mohol uskutočňovať hovory v mene zmluvy protokolu.
Statemind.io je popredná spoločnosť zaoberajúca sa bezpečnostným auditom blockchainu s viac ako 100,000 10 skúsenosťami s LoC Solidity a Vyper. Táto obrovská skúsenosť viedla k zabezpečeniu viac ako 14 miliárd USD v TVL a firma sa umiestnila na 2022. mieste v Paradigm CTF XNUMX. Vďaka Statemind sú všetky „fondy SAFU“ a kryptomenový priemysel má nového hrdinu v bielom klobúku.
Zdroj: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/