izkorišča redno pestijo industrijo blockchain in protokole DeFi kot še nikoli doslej. Skoraj vsak dan se pojavi nova grozljiva zgodba o dobro znanem protokolu, ki mu hekerji črpajo sredstva z izkoriščanjem, ki bi ga lahko ujeli vnaprej. Še hujši je vpliv, ki ga lahko imajo novice na skupnost prizadete kriptovalute, ki lahko pade v vrednosti in izgubi dragoceno podporo.
To je ravno razlog, zakaj sta kritična ranljivost in anonimni namigovalec z belim klobukom nedavno očarala kripto skupnost in privedla do obsežne javne preiskave na Twitterju med najboljšimi razvijalci blockchaina. Toda kdo točno stoji za odkritjem, ki je industriji kriptovalut prihranilo skupaj več kot 650 milijonov dolarjev vrednosti?
Tukaj so podrobnosti incidenta in kako se je razvil v obsežno iskanje revizijske družbe za varnost blockchain, ki stoji za odkritjem. Razkrili bomo tudi, kdo točno so junaki.
Zakaj je Crypto Twitter sprožil preiskavo anonimnega namigovalca
Nastajajoče tehnologije so podvržene strogim testom izjemnih situacij z uporabo javnosti kot beta preizkuševalcev. Čeprav ima razvojna ekipa pogosto najbolj čiste namene, je mogoče izkoristiti tudi najmanjšo ranljivost, tako da ni mogoče pustiti neprevrnjenega kamna, ko gre za čisto in varno kodo.
Vendar je nemogoče brati naslove kripto medijev, ne da bi naleteli na zgodbo za zgodbo o milijonih dolarjev, izgubljenih v nekaj trenutkih. Prizadeti projekti si lahko s težavo opomorejo, zaradi česar trpi skupnost. Razvijalci se navadno zataknejo pri sporočanju slabih novic skupnosti o tem, kaj se je točno zgodilo in zakaj, nato pa neradi prejmejo odziv in posledice.
Toda nedavni primer, ki je bil priljubljen na Twitterju, je bil eden redkih srečnih koncev, ki je ujel srce kripto skupnosti. Anonimni namigovalec je več vrhunskih kripto protokolov – kot so Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) in drugi – prihranil v vrednosti kar pol milijarde dolarjev.
White Hat Discovery vodi k prihranku več kot 650 milijonov dolarjev kriptovalute
Ocenjena škoda in morebitne žrtve vključujejo Avalanche v višini približno 350 milijonov USD; Abracadabra v vrednosti približno 300 milijonov $ žetonov MIM in dodatnih 3 milijone $ v uporabniških sredstvih; Nereus Finance s skoraj 60 milijoni $ v žetonih NXUSD; in približno 100 $ sredstev iz posojil SUSHI. Obstaja tudi neznan vpliv, povezan z omrežjem Boba.
Glede na ogromno shranjenih sredstev so se razvijalci prizadetih protokolov obrnili na Twitter v iskanju anonimnega namigovalca, ki je svoje odkritje poslal ImmuneFi. Začelo se je z glavnim razvijalcem SushiSwap Matthewom Lilleyjem, ki je tvitnil o tej temi in preiskavo usmeril v trend.
Trgi Kashi na Avalanche so bili vdrti po odkritju vektorja napada, ki ga je uvedla predkompilacija Native Asset Call na Avalanche. Sushi ekipa je lahko potrdila poročilo, ki ga je predložil whitehacker dne @imunefi, z izdelavo preprostega PoC. 1/6
— Jaz sem programska oprema 🦇🔊 (@MatthewLilley) September 8, 2022
V naslednjih urah so razvijalci z učinkom domin začeli prihajati naprej in razkrivati ranljivost ter delati na takojšnjem popravku.
1/🧙🏼♂️!
Obveščeni smo bili o morebitni ranljivosti naših Lavinskih kotlov.
Nobena uporabniška sredstva niso bila izgubljena, ranljivost je zdaj popravljena in vsa zavarovanja so zavarovana.
📖 Preberite več o našem post mortemu tukaj👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra in drugi nastopijo s skromnim junakom
Šele danes se je vodja inženiringa Ava Labs Patrick O'Grady oglasil na Twitterju, da bi se zahvalil podjetju Statemind, ki je kasneje nastopilo kot varnostno podjetje za verigo blokov in na široko odkrilo ranljivost.
👀👀@statemindio se je oglasil kot anonimni beli klobuk, ki je namigoval vpletenim ekipam: https://t.co/MmG4hkkad7
Še enkrat hvala za ves trud, da ste skupnost opozorili na težavo! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) September 8, 2022
Uradni račun Abracadabra na Twitterju je prav tako izrazil svojo globoko zahvalo, ker so opozorili na kritično ranljivost in rešili kripto skupnost za še eno grozljivo zgodbo.
🧙🏼♂️!
Revizijski družbi se iskreno zahvaljujemo @statemindio za prijavo ranljivosti, omenjene v naši zadnji objavi. 🔮
Zahvaljujoč njihovemu poročilu nam je uspelo zagotoviti vsa sredstva in sodelovati z @avalancheavax za popravek ranljivosti!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Ranljivosti so bile odpravljene v rekordnem času. Tako Avalanche kot Abracadabra imata delil post mortem o situaciji. Druge prizadete verige blokov bodo verjetno sledile in zagotovile preglednost širši skupnosti.
Kdo je ekipa, ki stoji za White Hat Heroics?
Kdo pravzaprav stoji za odkritjem? Bili smo v stiku z blogerjem, ki prav tako sodeluje s podjetjem, da bi izvedeli več.
Poznam anonimne hekerje, ki so razkrili zlorabo @avalancheavax @MIM_Spell & @SushiSwap
prihranek 3 mio $ uporabniških sredstev in 300 mio $ME žetonih
če ste kripto novinar in iščete komentarje/ekskluzivne podrobnosti ekipe, ki je našla izkoriščanje, mi to sporočite 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Revizijsko podjetje za varnost veriženja blokov Statemind je pregledalo kodo desetih najboljših protokolov veriženja blokov v iskanju vnaprejšnjih prevajalnikov po meri, ki bi lahko bili potencialno nevarni. Revizijsko podjetje za verigo blokov je pojasnilo, da so pretekle izkušnje pokazale, da so lahko predprevajanja po meri vse bolj nevarna v pravem okolju.
V skladu z raziskavo so imeli Avalanche in drugi vnaprejšnje prevajanje, "ki je omogočalo usmerjanje poljubnih klicev skozi vnaprejšnje prevajanje, ki posreduje msg.sender." Za nekatere protokole je to pomenilo, da lahko kdo kliče v imenu pogodbe protokola.
Statemind.io je vodilno podjetje za revizijo varnosti blockchain z več kot 100,000 izkušnjami LoC of Solidity in Vyper. Ta obsežna izkušnja je privedla do več kot 10 milijard USD zavarovanih TVL in podjetje se je uvrstilo na 14. mesto na lestvici Paradigm CTF 2022. Zahvaljujoč Statemindu so vsa »sredstva SAFU«, industrija kriptovalut pa ima novega junaka belega klobuka.
Vir: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/