eksploatira redovito muče blockchain industriju i DeFi protokole kao nikada prije. Gotovo svaki dan postoji nova horor priča o dobro poznatom protokolu koji hakeri crpe sredstva putem eksploatacije koja je mogla biti uhvaćena unaprijed. Još je gori utjecaj koji vijest može imati na zajednicu pogođene kriptovalute, čija vrijednost može pasti i izgubiti vrijednu podršku.
To je upravo razlog zašto su kritična ranjivost i anonimni bijeli šešir tipster nedavno osvojili kripto zajednicu i doveli do široke javne istrage na Twitteru između vrhunskih blockchain programera. No tko je točno stajao iza otkrića koje je industriji kriptovaluta spasilo ukupno više od 650 milijuna dolara vrijednosti?
Evo pojedinosti o incidentu i tome kako je prerastao u široku potragu za revizijskom tvrtkom za sigurnost blockchaina koja stoji iza otkrića. Otkrit ćemo i tko su točno heroji.
Zašto je Crypto Twitter pokrenuo istragu o anonimnom tipsteru
Tehnologije u nastajanju podvrgavaju se rigoroznim testovima otpornosti na stres koristeći javnost kao beta testere. Iako najčešće razvojni tim ima najčišće namjere, čak i najmanja ranjivost može se iskoristiti tako da ništa ne može ostati neprevrnuto kada je riječ o čistom i sigurnom kodu.
Ipak, nemoguće je čitati naslove kripto medija a da ne naletite na priču za pričom o milijunima dolara izgubljenim u nekoliko trenutaka. Pogođeni projekti mogu se teško oporaviti, a zajednica zbog toga trpi. Razvojni programeri obično zaglave u dostavljanju loših vijesti zajednici o tome što se točno dogodilo i zašto, a zatim nevoljko primaju reakciju i posljedice.
Ali nedavni primjer koji je bio popularan na Twitteru bio je jedan od rijetkih sretnih završetaka koji je osvojio srce kripto zajednice. Anonimni tipster spasio je nekoliko vrhunskih kripto protokola — kao što su Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) i drugi — u vrijednosti od čak pola milijarde dolara.
White Hat Discovery dovodi do više od 650 milijuna dolara ušteđenih kriptovaluta
Procijenjena šteta i potencijalne žrtve uključuju Avalanche od otprilike 350 milijuna dolara; Abracadabra u vrijednosti od oko 300 milijuna dolara MIM tokena i dodatnih 3 milijuna dolara u sredstvima korisnika; Nereus Finance s gotovo 60 milijuna dolara u NXUSD tokenima; i otprilike 100 tisuća dolara u sredstvima iz SUSHI pozajmljivanja. Postoji i nepoznati utjecaj povezan s Boba mrežom.
S obzirom na ogromnu količinu sredstava koja se čuvaju na sigurnom, programeri zahvaćenih protokola otišli su na Twitter u potrazi za anonimnim dojavljivačem koji je svoje otkriće poslao ImmuneFi-ju. Počelo je s glavnim programerom SushiSwapa Matthewom Lilleyem, koji je tvitao na tu temu i pokrenuo istragu.
Kashi Markets na Avalancheu bili su hakirani nakon otkrića vektora napada uvedenog pretkompilacijom Native Asset Call na Avalancheu. Sushi tim uspio je potvrditi izvješće koje je podnio whitehacker na @imunafi, izradom jednostavnog PoC-a. 1/6
— Ja sam softver 🦇🔊 (@MatthewLilley) Rujna 8, 2022
U satima koji su uslijedili, programeri su počeli istupati s domino efektom i otkrivati ranjivost te raditi na trenutnom popravljanju.
1/🧙🏼♂️!
Obaviješteni smo o mogućoj ranjivosti na našim Lavinskim kotlovima.
Nisu izgubljena nikakva korisnička sredstva, ranjivost je sada zakrpana i svi kolaterali su osigurani.
📖 Pročitajte više o našem post mortemu ovdje👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Rujna 8, 2022
Avalanche, Abracadabra i drugi nastupaju sa skromnim herojem
Sve do danas kada je voditelj inženjeringa Ava Labs Patrick O'Grady otišao na Twitter kako bi izrazio zahvalnost Statemindu, koji je kasnije istupio kao sigurnosna tvrtka za blockchain i široko otkrio ranjivost.
👀👀@statemindio javio se kao anonimni bijeli šešir koji je dojavio uključene timove: https://t.co/MmG4hkkad7
Hvala vam još jednom na svom trudu da upozorite zajednicu na problem! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) Rujna 8, 2022
Službeni Abracadabra Twitter račun također je izrazio duboku zahvalnost što su skrenuli pozornost na kritičnu ranjivost i spasili kripto zajednicu za još jednu horor priču.
!
Duboko zahvaljujemo revizorskoj kući @statemindio za prijavu ranjivosti spomenute u našoj posljednjoj objavi. 🔮
Zahvaljujući njihovom izvješću uspjeli smo osigurati sva sredstva i surađivati s njima @avalancheavax zakrpati ranjivost!🔥
— 🧙🏼♂️ (@MIM_Spell) Rujna 8, 2022
Ranjivosti su otklonjene u rekordnom roku. I Avalanche i Abracadabra imaju podijelio post mortem o situaciji. Drugi pogođeni blockchaini će vjerojatno slijediti i pružiti transparentnost zajednici u cjelini.
Tko je tim koji stoji iza White Hat Heroics?
Tko je zapravo tim koji stoji iza otkrića? Bili smo u kontaktu s blogerom koji također radi s tvrtkom kako bismo saznali više.
Znam anonimne hakere koji su otkrili eksploataciju @avalancheavax @ME_Urok & @SushiSwap
ušteda 3 mil. USD u korisničkim sredstvima i 300 mil $JA pojavnica
ako ste kripto novinar koji traži komentare/ekskluzivne detalje od tima koji je pronašao exploit, javite mi 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Rujna 8, 2022
Revizorska tvrtka za sigurnost blockchaina Statemind pregledala je kod deset najboljih protokola blockchaina u potrazi za prilagođenim predkompilacijama koje bi mogle biti potencijalno opasne. Prošla iskustva, objasnila je revizorska tvrtka za blockchain, pokazala su da prilagođene predkompilacije mogu biti sve opasnije u pravom okruženju.
Prema istraživanju, Avalanche i drugi imali su predkompilaciju "koja je omogućila usmjeravanje proizvoljnih poziva kroz predkompilaciju koja prenosi msg.sender." Za neke protokole to je značilo da svatko može upućivati pozive u ime ugovora protokola.
Statemind.io je vodeća tvrtka za reviziju sigurnosti blockchaina s više od 100,000 10 LoC of Solidity i Vyper iskustva. Ovo golemo iskustvo dovelo je do više od 14 milijardi dolara TVL-a i tvrtka se smjestila na 2022. mjesto u Paradigm CTF XNUMX. Zahvaljujući Statemindu, svi su "fondovi SAFU", a industrija kriptovaluta ima novog heroja bijelog šešira.
Izvor: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/