kasutab on plokiahela tööstust ja DeFi protokolle regulaarselt vaevanud nagu ei kunagi varem. Peaaegu iga päevaga kostab järjekordne õuduslugu tuntud protokollist, mille häkkerid tühjendavad raha ärakasutamise kaudu, mida oleks võinud ette tabada. Veelgi hullem on mõju, mida uudised võivad avaldada mõjutatud krüptovaluuta kogukonnale, mille väärtus võib kukkuda ja väärtuslikku toetust kaotada.
Just seetõttu lummasid hiljuti krüptokogukonda kriitiline haavatavus ja anonüümne valge mütsi näpunäide ning viisid Twitteris laialdase avaliku juurdluseni plokiahela tipparendajate vahel. Kuid kes täpselt oli selle avastuse taga, mis päästis krüptovaluutatööstusele kokku enam kui 650 miljoni dollari väärtuse?
Siin on üksikasjad juhtumi kohta ja selle kohta, kuidas see avastuse taga oleva plokiahela turvaaudiitorfirma laialdaseks otsinguks sai. Samuti paljastame täpselt, kes on kangelased.
Miks Crypto Twitter algatas uurimise anonüümse vihjeandja kohta?
Uued tehnoloogiad läbivad ranged stressitestid, kasutades beetatestijatena avalikkust. Kuigi arendusmeeskonnal on enamasti kõige puhtamad kavatsused, saab ära kasutada isegi väikseimat haavatavust, et puhta ja turvalise koodi osas ei jääks kivi kivi peale.
Siiski on võimatu lugeda krüptomeedia pealkirju, komistamata mõne hetkega kaotatud miljonite dollarite lugude järel. Mõjutatud projektidel võib olla raskusi taastumisega ja kogukond kannatab selle tagajärjel. Arendajad on tavaliselt ummikus kogukonnale halbade uudiste edastamisega selle kohta, mis täpselt juhtus ja miks, ning saavad seejärel vastumeelselt vastureaktsiooni ja väljalangemise.
Kuid hiljutine näide, mis Twitteris populaarsust kogus, oli üks haruldasi õnnelikke lõppu, mis on vallutanud krüptokogukonna südame. Anonüümne näpunäide salvestas mitu parimat krüptoprotokolli – nagu Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) ja teised – koguni poole miljardi dollari väärtuses.
White Hat Discovery aitab säästa rohkem kui 650 miljonit dollarit krüptovaluutat
Hinnangulised kahjud ja potentsiaalsed ohvrid hõlmavad laviini ligikaudu 350 miljonit dollarit; Abracadabra umbes 300 miljoni dollari väärtuses MIM-märke ja täiendavalt 3 miljonit dollarit kasutajaraha; Nereus Finance peaaegu 60 miljoni dollariga NXUSD žetoonides; ja ligikaudu 100 XNUMX dollari väärtuses vahendeid SUSHI laenudest. Samuti on Boba võrgustikuga seotud tundmatu mõju.
Arvestades tohutut turvaliselt hoitud rahasummat, otsisid mõjutatud protokollide arendajad Twitteris anonüümset nõuandjat, kes saatis nende avastuse ImmuneFi-le. See algas SushiSwapi põhiarendaja Matthew Lilleyga, kes säutsus sellel teemal ja sai uurimise trendi.
Kashi Markets on Avalanche häkkiti pärast ründevektori avastamist Native Asset Calli eelkompileerimisega Avalanche'is. Sushi meeskond suutis kinnitada raporti, mille esitas whitehacker @immunefi, luues lihtsa PoC. 1/6
— Ma olen tarkvara 🦇🔊 (@MatthewLilley) September 8, 2022
Järgnevatel tundidel hakkas esile kerkima arendajate doominoefekt, mis paljastas haavatavuse ja töötas kohese paranduse kallal.
1/🧙🏼♂️!
Meid on teavitatud meie laviinikatelde võimalikust haavatavusest.
Ühtegi kasutaja raha pole kadunud, haavatavus on nüüd paigatud ja kogu tagatis on tagatud.
📖 Loe meie post mortem’i kohta lähemalt siit👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra ja teised tulevad koos alandliku kangelasega
Alles täna avaldas Ava Labsi insenerijuht Patrick O'Grady Twitteris tänu Statemindile, kes hiljem astus plokiahela turvafirmana haavatavuse laialdaseks avastamiseks.
👀👀@statemendio esines anonüümse valgekübarana, kes andis asjaosalistele meeskondadele vihje: https://t.co/MmG4hkkad7
Täname veel kord kogu töö eest kogukonna teavitamisel probleemist! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) September 8, 2022
Ka ametlik Abracadabra Twitteri konto avaldas sügavat tänu kriitilisele haavatavusele tähelepanu juhtimise eest ja krüptokogukonna päästmise eest järjekordse õudusloo jaoks.
🧙🏼♂️!
Soovime audiitorfirmat sügavalt tänada @statemendio meie viimases teadaandes mainitud haavatavusest teatamise eest. 🔮
Tänu nende aruandele on meil õnnestunud tagada kõik rahalised vahendid ja teha koostööd @lavancheavax haavatavust lappima!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Turvaaugud parandati rekordajaga. Nii Avalanche'il kui ka Abracadabral on jagas olukorra kohta post mortem. Teised mõjutatud plokiahelad järgivad tõenäoliselt ja pakuvad kogu kogukonnale läbipaistvust.
Kes on meeskond The White Hat Heroics taga?
Kes täpselt on avastuse taga olev meeskond? Võtsime lisateabe saamiseks ühendust blogijaga, kes samuti ettevõttega koostööd teeb.
Ma tean anonüümseid häkkereid, kes avalikustasid selle ärakasutamise @lavancheavax @ME_Spell & @SushiSwap
säästa 3 miljonit dollarit kasutaja raha ja 300 miljonit $ MIM märkide
Kui olete krüptoajakirjanik, kes otsib kommentaare / eksklusiivseid üksikasju meeskonnalt, kes leidis ärakasutamise, andke mulle teada 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Blockchaini turvaaudiitorfirma Statemind vaatas üle kümne populaarseima plokiahela protokolli koodid, et otsida kohandatud eelkompile, mis võivad olla potentsiaalselt ohtlikud. Varasemad kogemused, selgitas plokiahela audiitorfirma, on näidanud, et kohandatud eelkompileerimine võib õiges keskkonnas olla üha ohtlikum.
Uuringu kohaselt oli Avalanche'il ja teistel eelkompil, "mis võimaldas suvalised kõned suunata läbi eelkompiliidi, mis edastab msg.sender". Mõne protokolli puhul tähendas see, et igaüks võis protokollilepingu nimel helistada.
Statemind.io on juhtiv plokiahela turvaauditeerimisettevõte, millel on üle 100,000 10 Solidity ja Vyperi kogemuse. See tohutu kogemus on toonud kaasa enam kui 14 miljardi dollari TVL-i tagamise ja ettevõtte 2022. aasta Paradigm CTF-is XNUMX. koha. Tänu Statemindile on kõik fondid SAFU ja krüptovaluutatööstusel on uus valge mütsi kangelane.
Allikas: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/