подвиги регулярно страждають від блокчейн-індустрії та протоколів DeFi, як ніколи раніше. Майже щодня з’являється чергова жахлива історія про те, як хакери витягують кошти з відомого протоколу за допомогою експлойту, який можна було виявити заздалегідь. Ще гіршим є вплив новин на спільноту постраждалої криптовалюти, вартість якої може впасти та втратити цінну підтримку.
Саме тому критична вразливість і анонімний інформатор нещодавно захопили криптоспільноту та призвели до широкомасштабного публічного розслідування в Twitter між провідними розробниками блокчейну. Але хто саме стояв за відкриттям, яке врятувало індустрії криптовалют загалом понад 650 мільйонів доларів?
Ось деталі інциденту та те, як він переріс у широкі пошуки аудиторської фірми безпеки блокчейну, яка стоїть за відкриттям. Ми також розкриємо, хто саме герої.
Чому Crypto Twitter розпочав розслідування проти анонімного підказника
Нові технології піддаються ретельним стрес-тестам із залученням громадськості як бета-тестерів. Хоча найчастіше команда розробників має найчистіші наміри, навіть найменша вразливість може бути використана, тому нікого не можна залишити на камені, коли справа стосується чистого та безпечного коду.
І все ж неможливо читати заголовки криптовалютних медіа, не наштовхнувшись на історію за історією про мільйони доларів, втрачених за лічені миті. Постраждалі проекти можуть важко відновлюватися, і в результаті страждає громада. Розробники зазвичай застрягли, повідомляючи спільноті погані новини про те, що саме сталося і чому, а потім неохоче отримують негативну реакцію та наслідки.
Але нещодавній приклад, який був популярним у Twitter, був одним із рідкісних хеппі-ендів, який захопив серце криптовалютної спільноти. Анонімний інформатор врятував кілька найпопулярніших криптопротоколів — таких як Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) та інші — на півмільярда доларів.
White Hat Discovery дає змогу зекономити понад 650 мільйонів доларів у криптовалюті
Приблизні збитки та потенційні жертви включають Avalanche приблизно в 350 мільйонів доларів США; Abracadabra на токени MIM на суму близько 300 мільйонів доларів США та додаткові 3 мільйони доларів у фондах користувачів; Nereus Finance з майже 60 мільйонами доларів США в токенах NXUSD; і приблизно 100 тис. доларів США від кредитування SUSHI. Існує також невідомий вплив, пов’язаний з мережею Boba.
Враховуючи величезну кількість коштів, які зберігаються в безпеці, розробники уражених протоколів звернулися до Twitter у пошуках анонімного інформатора, який надіслав своє відкриття в ImmuneFi. Це почалося з основного розробника SushiSwap Метью Ліллі, який написав на цю тему у Твіттері та зробив розслідування актуальним.
Kashi Markets на Avalanche було зламано після виявлення вектора атаки, представленого попередньою компіляцією Native Asset Call на Avalanche. Команда Sushi змогла підтвердити звіт, надісланий whitehacker на @immunefi, створивши простий PoC. 1/6
— Я програмне забезпечення 🦇🔊 (@MatthewLilley) Вересень 8, 2022
У наступні години розробники почали виявляти вразливість і працювати над негайним виправленням.
1/🧙🏼♂️!
Нас повідомили про можливу вразливість наших котлів Avalanche.
Жодні кошти користувачів не були втрачені, уразливість тепер виправлено, а всі застави захищені.
📖 Дізнайтеся більше про наш постморт тут👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Вересень 8, 2022
Avalanche, Abracadabra та інші виступають разом зі скромним героєм
Лише сьогодні керівник інженерного відділу Ava Labs Патрік О’Грейді звернувся до Twitter, щоб висловити подяку Statemind, яка згодом виступила як фірма з безпеки блокчейну, щоб широко виявити вразливість.
👀👀@statemindio виступив як анонімний білий капелюх, який повідомив залученим командам: https://t.co/MmG4hkkad7
Ще раз дякую за вашу роботу, щоб попередити спільноту про проблему! 🫡
— Патрік «Кран» О'Грейді 🔺 (@_patrickogrady) Вересень 8, 2022
Офіційний обліковий запис Abracadabra у Twitter також висловив глибоку вдячність за привернення уваги до критичної вразливості та збереження крипто-спільноти для ще однієї жахливої історії.
🧙🏼♂️!
Висловлюємо щиру подяку аудиторській фірмі @statemindio за повідомлення про вразливість, згадану в нашому останньому повідомленні. 🔮
Завдяки їхньому звіту нам вдалося забезпечити всі кошти та працювати разом @avalancheavax виправити вразливість!🔥
— 🧙🏼♂️ (@MIM_Spell) Вересень 8, 2022
Уразливості були усунені в рекордні терміни. І Avalanche, і Abracadabra мають поділився посмертним описом ситуації. Інші постраждалі блокчейни, ймовірно, підуть і забезпечать прозорість для спільноти в цілому.
Хто стоїть за командою White Hat Heroics?
Хто саме стоїть за відкриттям? Ми зв’язалися з блогером, який також працює з компанією, щоб дізнатися більше.
Я знаю анонімних хакерів, які розкрили експлойт @avalancheavax @MIM_Spell & @SushiSwap
заощадивши 3 млн. дол. США в коштах користувачів і 300 млн. дол $ MIM лексеми
якщо ви криптожурналіст і шукаєте коментарі/ексклюзивні подробиці від команди, яка знайшла експлойт, дайте мені знати 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Вересень 8, 2022
Аудиторська фірма з безпеки блокчейнів Statemind перевірила код десяти найпопулярніших протоколів блокчейнів у пошуках власних попередніх компіляцій, які можуть бути потенційно небезпечними. Минулий досвід, пояснила аудиторська фірма блокчейну, показав, що спеціальні попередні компіляції можуть бути все більш небезпечними в правильному середовищі.
Згідно з дослідженням, Avalanche та інші мали прекомпіляцію, «яка дозволяла маршрутизувати довільні виклики через прекомпіляцію, яка ретранслює msg.sender». Для деяких протоколів це означало, що будь-хто міг здійснювати дзвінки від імені контракту протоколу.
Statemind.io є провідною компанією з аудиту безпеки блокчейну з досвідом понад 100,000 10 LoC Solidity та Vyper. Цей величезний досвід призвів до забезпечення більше ніж 14 мільярдів доларів США TVL, і фірма посіла 2022 місце в Paradigm CTF XNUMX. Завдяки Statemind усі «фонди є SAFU», а криптовалютна індустрія має нового білого героя.
Джерело: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/