shfrytëzon kanë pllakosur rregullisht industrinë e blockchain dhe protokollet DeFi si kurrë më parë. Pothuajse çdo ditë që kalon ka një histori tjetër tmerri të një protokolli të njohur që po shterrohet nga fondet nga hakerat përmes një shfrytëzimi që mund të ishte kapur paraprakisht. Akoma më keq është ndikimi që lajmet mund të kenë në komunitetin e kriptomonedhës së ndikuar, e cila mund të rrëzohet në vlerë dhe të humbasë mbështetjen e vlefshme.
Kjo është pikërisht arsyeja pse një cenueshmëri kritike dhe një informator anonim i kapelave të bardha mahniti komunitetin e kriptove kohët e fundit dhe çoi në një hetim të gjerë publik në Twitter midis zhvilluesve kryesorë të blockchain. Por kush ishte saktësisht pas zbulimit që i shpëtoi industrisë së kriptomonedhave një vlerë të kombinuar prej më shumë se 650 milionë dollarësh?
Këtu janë detajet e incidentit dhe se si ai u spirale në një kërkim të gjerë për firmën e auditimit të sigurisë blockchain pas zbulimit. Ne gjithashtu do të zbulojmë saktësisht se cilët janë heronjtë.
Pse Crypto Twitter nisi një hetim për një informues anonim
Teknologjitë në zhvillim kalojnë përmes testeve rigoroze të stresit duke përdorur publikun si testues beta. Edhe pse më shpesh ekipi i zhvillimit ka synimet më të pastra, edhe dobësia më e vogël mund të shfrytëzohet në mënyrë që asnjë gur të mos lihet pa lëvizur kur bëhet fjalë për kodin e pastër dhe të sigurt.
Megjithatë, është e pamundur të lexosh titujt e mediave kriptopatike pa u ngecur në histori pas historie të miliona dollarëve të humbur në pak çaste. Projektet e prekura mund të luftojnë për t'u rikuperuar dhe komuniteti vuan si rezultat. Zhvilluesit zakonisht janë të ngecur duke i dhënë komunitetit lajmin e keq për atë që ka ndodhur saktësisht dhe pse, dhe më pas marrin pa dëshirë reagimet dhe pasojat.
Por një shembull i kohëve të fundit që ishte në trend në Twitter ishte një nga përfundimet e rralla të lumtura që ka pushtuar zemrën e komunitetit të kriptove. Një informator anonim shpëtoi disa protokolle kryesore të kriptos – si Orteku (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) dhe të tjerë – deri në gjysmë miliardë dollarë në vlerë.
Zbulimi i Kapelës së Bardhë çon në më shumë se 650 milionë dollarë në kriptomonedhë të kursyer
Dëmet e vlerësuara dhe viktimat e mundshme përfshijnë Ortekun në rreth 350 milion dollarë; Abracadabra me vlerë rreth 300 milion dollarë argumente MIM dhe 3 milion dollarë shtesë në fondet e përdoruesit; Nereus Finance me gati 60 milion dollarë në tokena NXUSD; dhe afërsisht 100 mijë dollarë fonde nga kreditimi SUSHI. Ka gjithashtu një ndikim të panjohur lidhur me Rrjetin Boba.
Duke pasur parasysh sasinë e madhe të fondeve të mbajtura të sigurta, zhvilluesit e protokolleve të prekura shkuan në Twitter në kërkim të informatorit anonim që dërgoi zbulimin e tyre në ImmuneFi. Filloi me zhvilluesin kryesor të SushiSwap, Matthew Lilley, i cili postoi në Twitter mbi temën dhe e bëri hetimin në trend.
Kashi Markets on Avalanche u goditën pas zbulimit të një vektori sulmi të prezantuar nga parapërpilimi Native Asset Call në Avalanche. Ekipi i Sushit ishte në gjendje të vërtetonte raportin, i cili u dorëzua nga një whitehacker në @immunefi, duke krijuar një PoC të thjeshtë. 1/6
— Unë jam Software 🦇🔊 (@MatthewLilley) Shtator 8, 2022
Në orët në vijim, një domino-efekt i zhvilluesve filloi të shfaqej dhe të zbulonte cenueshmërinë dhe të punonte për një rregullim të menjëhershëm.
1/🧙🏼♂️!
Ne jemi njoftuar për një cenueshmëri të mundshme në kazanët tanë të Ortekut.
Asnjë fond përdoruesi nuk ka humbur, dobësia tani është rregulluar dhe i gjithë kolaterali është siguruar.
📖 Lexoni më shumë për post mortem këtu👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Shtator 8, 2022
Orteku, Abracadabra dhe të tjerë vijnë përpara me Heroin e përulur
Vetëm sot, kur Shefi i Inxhinierisë së Ava Labs, Patrick O'Grady shkoi në Twitter për të shprehur falënderimet për Statemind, e cila më vonë doli përpara si firma e sigurisë blockchain për të zbuluar gjerësisht cenueshmërinë.
👀👀@statemindio doli si whitehat anonim që informoi ekipet e përfshira: https://t.co/MmG4hkkad7
Faleminderit përsëri për gjithë punën tuaj për të njoftuar komunitetin për këtë çështje! 🫡
— Patrick "The Faucet" O'Grady 🔺 (@_patrickogrady) Shtator 8, 2022
Llogaria zyrtare e Abracadabra në Twitter shprehu gjithashtu falënderimet e tyre të thella për tërheqjen e vëmendjes ndaj cenueshmërisë kritike dhe shpëtimin e komunitetit të kriptove për një histori tjetër tmerri.
🧙🏼♂️!
Ne dëshirojmë të falënderojmë thellësisht firmën e auditimit @statemindio për raportimin e cenueshmërisë së përmendur në njoftimin tonë të fundit. 🔮
Falë raportit të tyre ne kemi arritur të sigurojmë të gjitha fondet dhe të punojmë së bashku @avalancheavax për të rregulluar cenueshmërinë!🔥
— 🧙🏼♂️ (@MIM_Spell) Shtator 8, 2022
Dobësitë u rregulluan në kohë rekord. Të dy Orteku dhe Abracadabra kanë ndau një post mortem mbi situatën. Blloqe të tjera të prekura ka të ngjarë të ndjekin dhe të ofrojnë transparencë për komunitetin në përgjithësi.
Kush është skuadra që qëndron pas Heroics Kapelës së Bardhë?
Kush qëndron saktësisht ekipi pas zbulimit? Ne ishim në kontakt me një bloger i cili gjithashtu punon me kompaninë për të mësuar më shumë.
Unë i njoh hakerat anonimë që zbuluan shfrytëzimin @avalancheavax @MIM_Spell & @SushiSwap
duke kursyer 3 milion dollarë në fondet e përdoruesve dhe 300 milion $MIM argumentet
nëse je një gazetar i kriptove që kërkon komente/detaje ekskluzive nga ekipi që gjeti shfrytëzimin, më trego 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Shtator 8, 2022
Firma e auditimit të sigurisë Blockchain Statemind rishikoi kodin e dhjetë protokolleve kryesore të blockchain në kërkim të para-përpilimeve të personalizuara që mund të jenë potencialisht të rrezikshme. Përvojat e kaluara, shpjegoi firma e auditimit të blockchain, ka treguar se parapërpilimet me porosi mund të jenë gjithnjë e më të rrezikshme në mjedisin e duhur.
Sipas hulumtimit, Avalanche dhe të tjerët kishin një parapërmbledhje "që lejonte që thirrjet arbitrare të drejtoheshin përmes parakompilimit që transmetonte msg.sender". Për disa protokolle, kjo do të thoshte se çdokush mund të bënte thirrje në emër të kontratës së protokollit.
Statemind.io është një kompani udhëheqëse e auditimit të sigurisë së blockchain me mbi 100,000 LoC të Solidity dhe përvojës Vyper. Kjo përvojë e madhe ka bërë që më shumë se 10 miliardë dollarë në TVL të sigurohen dhe firma të vendoset në vendin e 14-të në Paradigmën CTF 2022. Falë Statemind, të gjitha "fondet janë SAFU" dhe industria e kriptomonedhave ka një hero të ri të kapelës së bardhë.
Burimi: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/