експлойти редовно измъчват блокчейн индустрията и DeFi протоколите, както никога досега. Почти всеки изминал ден има нова ужасяваща история за добре известен протокол, източен от средства от хакери чрез експлойт, който може да е бил уловен предварително. Още по-лошо е въздействието, което новините могат да имат върху общността на засегнатата криптовалута, която може да се срине в стойност и да загуби ценна подкрепа.
Ето защо критична уязвимост и анонимен информатор с бяла шапка завладяха крипто общността наскоро и доведоха до широко публично разследване в Twitter между топ разработчици на блокчейн. Но кой точно стои зад откритието, което спаси на криптовалутната индустрия общо повече от 650 милиона долара стойност?
Ето подробностите за инцидента и как се превърна в широко разпространено търсене на фирмата за одит на сигурността на блокчейн, която стои зад откритието. Ще разкрием и кои точно са героите.
Защо Crypto Twitter започна разследване на анонимен типстър
Нововъзникващите технологии се подлагат на строги стрес тестове, използвайки обществеността като бета тестери. Въпреки че по-често екипът за разработка има най-чистите намерения, дори и най-малката уязвимост може да бъде експлоатирана, така че нищо не може да остане необърнато, когато става въпрос за чист и сигурен код.
И все пак е невъзможно да се четат заглавия в крипто медиите, без да се натъкнете на история след история за милиони долари, загубени за броени моменти. Засегнатите проекти могат да се борят да се възстановят и в резултат на това общността страда. Разработчиците обикновено са блокирани да предоставят лошите новини на общността за това какво точно се е случило и защо, а след това неохотно получават обратната реакция и последствията.
Но скорошен пример, който беше актуален в Twitter, беше един от редките щастливи завършеци, който завладя сърцето на крипто общността. Анонимен съветник спаси няколко топ крипто протокола — като Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) и други — на стойност до половин милиард долара.
White Hat Discovery води до спестяване на повече от $650 милиона в криптовалута
Приблизителните щети и потенциалните жертви включват Avalanche на приблизително 350 милиона долара; Abracadabra на стойност около $300 милиона MIM токени и допълнителни $3 милиона в потребителски средства; Nereus Finance с близо $60 милиона в NXUSD токени; и приблизително 100 XNUMX $ средства от SUSHI кредитиране. Има и неизвестно въздействие, свързано с мрежата Boba.
Като се има предвид огромното количество средства, съхранявани в безопасност, разработчиците на засегнатите протоколи се обърнаха към Twitter в търсене на анонимния информатор, който изпрати откритието си на ImmuneFi. Всичко започна с основния разработчик на SushiSwap Матю Лили, който туитна по темата и насочи разследването към тенденция.
Kashi Markets на Avalanche бяха хакнати след откриването на вектор на атака, въведен от прекомпилирането на Native Asset Call на Avalanche. Екипът на Sushi успя да потвърди доклада, който беше подаден от whitehacker на @immunefi, чрез създаване на прост PoC. 1/6
— Аз съм софтуер 🦇🔊 (@MatthewLilley) Септември 8, 2022
В следващите часове ефектът на доминото от разработчиците започна да излиза и да разкрива уязвимостта и да работи по незабавно отстраняване.
1/🧙🏼♂️!
Бяхме уведомени за възможна уязвимост на нашите котли Avalanche.
Няма загубени потребителски средства, уязвимостта вече е коригирана и всички обезпечения са защитени.
📖 Прочетете повече за нашата аутопсия тук👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Септември 8, 2022
Avalanche, Abracadabra и други излизат напред със скромния герой
Едва днес, когато ръководителят на инженерния отдел на Ava Labs Патрик О'Грейди отиде в Twitter, за да изрази благодарност на Statemind, която по-късно излезе напред като фирма за сигурност на блокчейн, за да открие широко уязвимостта.
👀👀@statemindio излезе напред като анонимната бяла шапка, която съобщи на участващите отбори: https://t.co/MmG4hkkad7
Благодаря отново за цялата ви работа, за да предупредите общността за проблема! 🫡
— Патрик „Кранът“ О'Грейди 🔺 (@_patrickogrady) Септември 8, 2022
Официалният акаунт на Abracadabra в Twitter също изрази своята дълбока благодарност за привличането на вниманието към критичната уязвимост и спасяването на крипто общността за още една история на ужасите.
!
Бихме искали да благодарим дълбоко на одиторската фирма @statemindio за докладване на уязвимостта, спомената в последното ни съобщение. 🔮
Благодарение на техния отчет успяхме да осигурим всички средства и да работим заедно @avalancheavax за да коригирате уязвимостта!🔥
— 🧙🏼♂️ (@MIM_Spell) Септември 8, 2022
Уязвимостите бяха отстранени за рекордно кратко време. И Avalanche, и Abracadabra имат сподели аутопсия за ситуацията. Други засегнати блокчейни вероятно ще последват и ще осигурят прозрачност на общността като цяло.
Кой е екипът зад White Hat Heroics?
Кой точно е екипът зад откритието? Свързахме се с блогър, който също работи с компанията, за да научим повече.
Познавам анонимните хакери, които разкриха експлойта @avalancheavax @ME_Spell & @SushiSwap
спестяване на $3 млн. потребителски средства и 300 млн $МЕН символи
ако сте крипто журналист, търсещ коментари/ексклузивни подробности от екипа, открил експлойта, уведомете ме 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Септември 8, 2022
Фирмата за одит на сигурността на блокчейн Statemind прегледа кода на десетте най-добри блокчейн протокола в търсене на персонализирани прекомпилации, които биха могли да бъдат потенциално опасни. Миналият опит, обясниха от одиторската фирма за блокчейн, показа, че персонализираните предварителни компилирания могат да бъдат все по-опасни в правилната среда.
Според изследването Avalanche и други са имали прекомпил, „който позволява произволни повиквания да бъдат маршрутизирани през прекомпила, който препредава msg.sender.“ За някои протоколи това означаваше, че всеки може да извършва обаждания от името на договора на протокола.
Statemind.io е водеща компания за одит на сигурността на блокчейн с над 100,000 10 LoC на Solidity и Vyper опит. Този огромен опит доведе до осигурени повече от $14 милиарда в TVL и фирмата се класира на 2022-то място в Paradigm CTF XNUMX. Благодарение на Statemind всички „фондове са SAFU“ и индустрията на криптовалутите има нов герой с бяла шапка.
Източник: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/