varoņdarbi ir regulāri nomocījuši blokķēdes nozari un DeFi protokolus kā nekad agrāk. Gandrīz katru dienu ir vēl viens šausmu stāsts par labi zināmu protokolu, ko hakeri iztērējuši līdzekļus, izmantojot ļaunprātīgu izmantošanu, kuru varēja noķert jau iepriekš. Vēl sliktāka ir ziņu ietekme uz ietekmētās kriptovalūtas kopienu, kuras vērtība var samazināties un zaudēt vērtīgo atbalstu.
Tieši tāpēc kritiska ievainojamība un anonīms balto cepuru padomu sniedzējs nesen aizrāva kriptogrāfijas kopienu un izraisīja plašu publisku izmeklēšanu vietnē Twitter starp labākajiem blokķēdes izstrādātājiem. Bet kurš tieši bija aiz atklājuma, kas kriptovalūtas industrijai kopumā ietaupīja vairāk nekā 650 miljonus dolāru?
Šeit ir sniegta informācija par incidentu un to, kā tas izvērtās plašā blokķēdes drošības audita firmas meklējumos, kas atradās aiz atklājuma. Mēs arī atklāsim, kas tieši ir varoņi.
Kāpēc Crypto Twitter uzsāka izmeklēšanu par anonīmu padomu sniedzēju
Jaunajām tehnoloģijām tiek veikta stingra stresa pārbaude, izmantojot sabiedrību kā beta testētāju. Lai gan visbiežāk izstrādes komandai ir vistīrākie nodomi, pat vismazāko ievainojamību var izmantot, lai tīru un drošu kodu nevar atstāt bez ievērības.
Tomēr nav iespējams izlasīt kriptovalūtu mediju virsrakstus, nepaklūpot uz stāstu pēc stāsta par miljoniem dolāru, kas tika zaudēti dažu mirkļu laikā. Ietekmētajiem projektiem var būt grūti atgūties, un tā rezultātā cieš kopiena. Izstrādātāji parasti ir iestrēguši, sniedzot sabiedrībai sliktās ziņas par to, kas tieši noticis un kāpēc, un pēc tam negribīgi saņem atbildes reakciju un sekas.
Bet nesenais piemērs, kas bija populārs vietnē Twitter, bija viens no retajiem laimīgajiem beigām, kas ir iekarojis kriptovalūtu kopienas sirdi. Anonīms padomu sniedzējs izglāba vairākus populārākos kriptogrāfijas protokolus, piemēram, Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) un citus, pat pusmiljarda dolāru vērtībā.
Baltās cepures atklāšana ļauj ietaupīt vairāk nekā 650 miljonus USD kriptovalūtā
Paredzamie zaudējumi un iespējamie upuri ietver Avalanche aptuveni 350 miljonu ASV dolāru apmērā; Abracadabra aptuveni 300 miljonu ASV dolāru vērtībā MIM marķieri un papildu 3 miljoni ASV dolāru lietotāju līdzekļos; Nereus Finance ar gandrīz 60 miljoniem USD NXUSD marķieros; un aptuveni USD 100 XNUMX līdzekļos no SUSHI aizdevumiem. Ir arī nezināma ietekme, kas saistīta ar Boba tīklu.
Ņemot vērā milzīgo drošībā saglabāto līdzekļu daudzumu, ietekmēto protokolu izstrādātāji izmantoja Twitter, meklējot anonīmu padomu sniedzēju, kurš nosūtīja atklājumu ImmuneFi. Tas sākās ar SushiSwap galveno izstrādātāju Metjū Liliju, kurš tvītoja par šo tēmu un ieguva izmeklēšanas tendences.
Kashi Markets vietnē Avalanche tika uzlauzts pēc tam, kad tika atklāts uzbrukuma vektors, ko ieviesa Native Asset Call priekškompilācija vietnē Avalanche. Suši komanda varēja apstiprināt ziņojumu, ko iesniedza baltā hakeris @immunefi, izveidojot vienkāršu PoC. 1/6
— Es esmu programmatūra 🦇🔊 (@MatthewLilley) Septembris 8, 2022
Nākamajās stundās sāka parādīties izstrādātāju domino efekts, kas atklāja ievainojamību un strādāja pie tūlītēja labojuma.
1/🧙🏼♂️!
Mēs esam informēti par iespējamu ievainojamību mūsu lavīnu katlos.
Lietotāju līdzekļi nav zaudēti, ievainojamība tagad ir aizlāpīta un viss nodrošinājums ir nodrošināts.
📖 Vairāk par mūsu post mortem lasiet šeit👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Septembris 8, 2022
Lavīna, Abrakadabra un citi nāk uz priekšu ar pazemīgo varoni
Tikai šodien Ava Labs inženierzinātņu vadītājs Patriks O'Greidijs sociālajā tīklā Twitter pateicās uzņēmumam Statemind, kas vēlāk kļuva par blokķēdes drošības firmu, lai plaši atklātu ievainojamību.
👀👀@statemindio izvirzījās kā anonīma baltā cepure, kas informēja iesaistītās komandas: https://t.co/MmG4hkkad7
Vēlreiz paldies par jūsu darbu, lai brīdinātu sabiedrību par šo problēmu! 🫡
— Patriks “Jaucējkrāns” O'Greidijs 🔺 (@_patrickogrady) Septembris 8, 2022
Oficiālais Abracadabra Twitter konts arī izteica dziļu pateicību par uzmanības pievēršanu kritiskajai ievainojamībai un kriptovalūtu kopienas glābšanu vēl vienam šausmu stāstam.
🧙🏼♂️!
Mēs vēlamies sirsnīgi pateikties auditorfirmai @statemindio lai ziņotu par mūsu jaunākajā paziņojumā minēto ievainojamību. 🔮
Pateicoties viņu ziņojumam, mums ir izdevies nodrošināt visus līdzekļus un sadarboties ar @lavancheavax lai aizlāpītu ievainojamību!🔥
— 🧙🏼♂️ (@MIM_Spell) Septembris 8, 2022
Ievainojamības tika novērstas rekordīsā laikā. Ir gan Avalanche, gan Abrakadabra dalījās ar post mortem par situāciju. Citas ietekmētās blokķēdes, visticamāk, sekos un nodrošinās pārredzamību sabiedrībai kopumā.
Kas ir komanda aiz White Hat Heroics?
Kura tieši ir komanda, kas ir aiz atklājuma? Mēs sazinājāmies ar emuāru autori, kas arī strādā ar uzņēmumu, lai uzzinātu vairāk.
Es pazīstu anonīmos hakerus, kas atklāja ļaunprātīgu izmantošanu @lavancheavax @MIM_Spell & @SushiSwap
ietaupot 3 miljonus dolāru lietotāju līdzekļos un 300 miljonus $MIM žetoniem,
ja esat kriptogrāfijas žurnālists, kas meklē komentārus/ekskluzīvu informāciju no komandas, kas atrada ekspluatāciju, dariet man to zināmu 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Septembris 8, 2022
Blockchain drošības audita firma Statemind pārskatīja desmit populārāko blokķēdes protokolu kodu, meklējot pielāgotas priekškompilācijas, kas varētu būt potenciāli bīstamas. Iepriekšējā pieredze, paskaidroja blokķēdes auditorfirma, ir parādījusi, ka pielāgotas iepriekšējas kompilācijas var būt arvien bīstamākas pareizajā vidē.
Saskaņā ar pētījumu, Avalanche un citiem bija priekškompilācija, "kas ļāva novirzīt patvaļīgus zvanus caur priekškompilāciju, kas pārraida msg.sender". Dažiem protokoliem tas nozīmēja, ka ikviens varēja zvanīt protokola līguma vārdā.
Statemind.io ir vadošais blokķēdes drošības audita uzņēmums ar vairāk nekā 100,000 10 LoC Solidity un Vyper pieredzi. Šīs plašās pieredzes rezultātā TVL ir nodrošināts vairāk nekā 14 miljardu dolāru apmērā, un uzņēmums Paradigm CTF 2022 ieņēma XNUMX. vietu. Pateicoties Statemind, visi līdzekļi ir SAFU, un kriptovalūtu nozarei ir jauns baltās cepures varonis.
Avots: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/