Tietoturvatutkija löysi ohjelmistohaavoittuvuuden, jota olisi voitu hyödyntää jopa 200 miljoonan dollarin varastamiseen Polkadotin kolmesta Ethereum-yhteensopivasta laskuvarjoketjusta – Moonbeamista, Astar Networkista ja Acala.
Tutkija, joka tunnetaan nimellä pwning.eth, löysi ja raportoi kriittisen haavoittuvuuden kesäkuussa, kun ohjelma lähetettiin, Frontier-nimisessä ohjelmistossa, jota käytetään "käärimään" alkuperäisiä tokeneita kolmessa lohkoketjuprojektissa (tai parachainsissa) Polkadotissa. verkkoon. Raportti lähetettiin krypto-painotteisella vianetsintäalustalla Immunefilla 27. kesäkuuta, mutta se julkistettiin vasta äskettäin.
"Pwning.eth löysi virheen, joka vaikutti koko Polkadot-ekosysteemiin ja antoi hakkereille mahdollisuuden varastaa yli 200 miljoonaa dollaria Moonbeamin, Astar Networkin ja Acalan kautta", Immunefin edustaja kertoi The Blockille. "He olivat kaikki alttiina bugille, joka olisi voinut antaa ilkeäkäyttäjille mahdollisuuden lyödä käärittyjä alkuperäisiä tunnuksia."
Tässä tapauksessa kääriminen on prosessi, jossa lohkoketjujen alkuperäiset kryptovarat muunnetaan tokeneiksi, joita sovellukset voivat helpommin tukea. Se tehdään käyttämällä älykästä sopimusta, joka pitää alkuperäiset tunnukset sulkupankissa ja antaa käärityt tunnukset käyttäjälle.
Kolmen ketjun haavoittuvuutta olisi voitu käyttää väärin lyömään rajattomasti käärittyjä rahakkeita, mukaan lukien wrapped astar (WASTR) Astarissa, wrapped moonbeam (WGLMR) Moonbeamissa ja wrapped moonriver (WMOVR) Moonriverissä, joka on Moonbeamin sisarverkosto.
Haavoittuvuuden kohteeksi joutuneiden omaisuuserien arvioitu arvo oli noin 200 miljoonaa dollaria kolmessa laskuvarjoketjussa, Immunefi sanoi. Haavoittuvuuden ilmoittamisen jälkeen kolme parachain-tiimiä työskentelivät korjatakseen sen ja julkaisivat hätäkorjauksen ennen kuin yksikään pahantahtoinen toimija ehti hyödyntää sitä. Varoja ei menetetty.
Moonbeam ja Astar, joilla on aktiivisia bug-bounty-ohjelmia Immunefin kanssa, myönsivät eettiselle hakkerille miljoona dollaria Immunefin kautta. Parity, Frontier Libraryn kehittäjä, päätti lahjoittaa 1 250,000 dollaria miljoonan dollarin palkkioon, vaikka hänellä ei ollut virhepalkkiota Immunefin kanssa.
Pwning.eth ei ole vieras löytää kriittisiä virheitä ja saada suuria summia. Vuoden 2022 alussa valkohattuinen hakkeri palkittiin a 6 miljoonan dollarin palkkio löydettyään haavoittuvuuden Aurorasta, EVM-yhteensopivasta NEAR-protokollan lohkoketjusta, mikä säästää noin 70,000 210 ETH:ta XNUMX miljoonan dollarin arvosta tuolloin.
© 2022 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss