Drošības pētnieks atklāja programmatūras ievainojamību, kuru varēja izmantot, lai nozagtu pat 200 miljonus USD no trim ar Ethereum saderīgām izpletņķēdēm vietnē Polkadot — Moonbeam, Astar Network un Acala.
Pētnieks, kas pazīstams kā pwning.eth, atklāja un ziņoja par kritisko ievainojamību jūnijā, kad programma tika iesniegta, programmatūrā Frontier, kas tiek izmantota vietējo marķieru “iesaiņošanai” trīs blokķēdes projektos (vai parachains) uz Polkadot. tīkls. Ziņojums tika iesniegts uz šifrēšanu vērstajā kļūdu meklēšanas platformā Immunefi 27. jūnijā, taču tas tika atklāts tikai nesen.
"Pwning.eth atrada kļūdu, kas ietekmēja visu Polkadot ekosistēmu un ļāva hakeriem nozagt vairāk nekā 200 miljonus dolāru pa Moonbeam, Astar Network un Acala," The Block pastāstīja Immunefi pārstāvis. "Tie visi bija neaizsargāti pret kļūdu, kas varēja ļaut ļaunprātīgiem lietotājiem izveidot iesaiņotus vietējos marķierus."
Šajā gadījumā iesaiņošana ir process, kurā blokķēžu vietējie kriptogrāfijas līdzekļi tiek pārveidoti par marķieriem, kurus var vieglāk atbalstīt lietotnēs. Tas tiek darīts, izmantojot viedo līgumu, kas glabā vietējās marķierus darījuma vietā un izsniedz lietotājam iesaiņotos marķierus.
Trīs ķēžu ievainojamība varēja tikt ļaunprātīgi izmantota, lai izveidotu neierobežotu skaitu iesaiņotu žetonu, tostarp wrapped astar (WASTR) uz Astar, wrapped moonbeam (WGLMR) uz Moonbeam un wrapped moonriver (WMOVR) Moonriver, kas ir Moonbeam māsas tīkls.
Imunefi sacīja, ka ievainojamībai pakļauto aktīvu aptuvenā vērtība bija aptuveni 200 miljoni USD visās trīs izpletņķēdes. Pēc tam, kad tika ziņots par ievainojamību, trīs izpletņvada komandas strādāja, lai to novērstu, un izlaida avārijas ielāpu, pirms kāds ļaundabīgs dalībnieks to varēja izmantot. Līdzekļi netika zaudēti.
Moonbeam un Astar, kuriem ir aktīvas kļūdu novēršanas programmas ar Immunefi, ar Immunefi starpniecību ētiskajam hakeram piešķīra 1 miljonu dolāru. Parity, Frontier Library izstrādātājs, nolēma iemaksāt USD 250,000 1, lai saņemtu vienu miljonu USD, lai gan viņam nebija kļūdu ar Immunefi.
Pwning.eth nav svešs kritisku kļūdu atrašana un lielas summas. 2022. gada sākumā baltās cepures hakeris tika apbalvots ar a 6 miljonu dolāru prēmija pēc ievainojamības atklāšanas Aurora, ar EVM saderīgā blokķēdē NEAR Protocol, ietaupot aptuveni 70,000 210 ETH XNUMX miljonu ASV dolāru vērtībā.
© 2022 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss