exploits har regelmessig plaget blokkjedeindustrien og DeFi-protokoller som aldri før. Nesten hver dag som går er det en annen skrekkhistorie om en velkjent protokoll som tappes for midler av hackere gjennom en utnyttelse som kunne vært fanget på forhånd. Enda verre er virkningen nyhetene kan ha på fellesskapet av den berørte kryptovalutaen, som kan krasje i verdi og miste verdifull støtte.
Dette er nøyaktig grunnen til at en kritisk sårbarhet og en anonym tipser om hvite hatter trollbundet kryptosamfunnet nylig og førte til en omfattende offentlig etterforskning på Twitter mellom topp blockchain-utviklere. Men hvem sto egentlig bak oppdagelsen som sparte kryptovalutaindustrien for en samlet verdi på mer enn 650 millioner dollar?
Her er detaljene om hendelsen og hvordan den gikk inn i et utbredt søk etter blokkjede-sikkerhetsrevisjonsfirmaet bak oppdagelsen. Vi vil også avsløre nøyaktig hvem heltene er.
Hvorfor Crypto Twitter lanserte en undersøkelse av en anonym tipser
Nye teknologier blir satt gjennom strenge stresstester ved å bruke publikum som betatestere. Selv om oftere enn ikke utviklingsteamet har de reneste intensjoner, kan selv den minste sårbarhet utnyttes, slik at ingen steiner kan stå uvendt når det kommer til ren og sikker kode.
Likevel er det umulig å lese kryptomedieoverskrifter uten å snuble over historie etter historie om millioner av dollar tapt i løpet av få øyeblikk. Berørte prosjekter kan slite med å komme seg, og samfunnet lider som et resultat. Utviklere står vanligvis fast og leverer de dårlige nyhetene til samfunnet om hva som skjedde og hvorfor, og mottar deretter motvillig tilbakeslag og nedfall.
Men et nylig eksempel som var populært på Twitter var en av de sjeldne lykkelige avslutningene som har fanget hjertet av kryptosamfunnet. En anonym tipser lagret flere topp kryptoprotokoller - som Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) og andre - så mye som en halv milliard dollar i verdi.
White Hat Discovery fører til mer enn 650 millioner dollar spart i kryptovaluta
Anslåtte skader og potensielle ofre inkluderer Avalanche på omtrent $350 millioner; Abracadabra til en verdi av rundt $300 millioner MIM-tokens og ytterligere $3 millioner i brukermidler; Nereus Finance med nesten $60 millioner i NXUSD-tokens; og omtrent 100 XNUMX USD i midler fra SUSHI-lån. Det er også en ukjent innvirkning knyttet til Boba Network.
Gitt den enorme mengden midler som ble holdt trygge, tok utviklere av de berørte protokollene til Twitter på jakt etter den anonyme tipseren som sendte oppdagelsen deres til ImmuneFi. Det begynte med SushiSwap-kjerneutvikler Matthew Lilley, som twitret om emnet og fikk etterforskningen på vei.
Kashi Markets on Avalanche ble hvithacket etter oppdagelsen av en angrepsvektor introdusert av Native Asset Call-prekompileringen på Avalanche. Sushi-teamet var i stand til å validere rapporten, som ble sendt inn av en whitehacker på @immunefi, ved å lage en enkel PoC. 1/6
— Jeg er programvare 🦇🔊 (@MatthewLilley) September 8, 2022
I timene etter begynte en dominoeffekt av utviklere å komme frem og avsløre sårbarheten og jobbe med en umiddelbar løsning.
1/🧙🏼♂️!
Vi har blitt varslet om en mulig sårbarhet på våre Avalanche-gryter.
Ingen brukermidler har gått tapt, sårbarheten er nå lappet og all sikkerhet er sikret.
📖 Les mer om vår post mortem her👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra og andre kommer frem med den ydmyke helten
Det var ikke før akkurat i dag da Ava Labs ingeniørsjef Patrick O'Grady tok til Twitter for å uttrykke takk til Statemind, som senere gikk frem som blokkjedesikkerhetsfirmaet for å oppdage sårbarheten bredt.
👀👀@statemindio kom frem som den anonyme hvithatten som tipset de involverte lagene: https://t.co/MmG4hkkad7
Takk igjen for alt arbeidet ditt for å varsle fellesskapet om problemet! 🫡
— Patrick «The Faucet» O'Grady 🔺 (@_patrickogrady) September 8, 2022
Den offisielle Abracadabra Twitter-kontoen uttrykte også sin dype takk for at de gjorde oppmerksom på den kritiske sårbarheten og reddet kryptosamfunnet for nok en skrekkhistorie.
🧙🏼♂️!
Vi vil rette en stor takk til revisjonsselskapet @statemindio for rapportering av sårbarheten nevnt i vår siste kunngjøring. 🔮
Takket være deres rapport har vi klart å sikre alle midlene og samarbeide med @avalancheavax å lappe på sårbarheten!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Sårbarhetene ble fikset på rekordtid. Både Avalanche og Abracadabra har delte et post mortem om situasjonen. Andre berørte blokkjeder vil sannsynligvis følge etter og gi åpenhet til samfunnet for øvrig.
Hvem er teamet bak The White Hat Heroics?
Hvem er egentlig teamet bak oppdagelsen? Vi var i kontakt med en blogger som også jobber med selskapet for å lære mer.
Jeg kjenner de anonyme hackerne som avslørte utnyttelsen til @avalancheavax @MIM_Stav & @SushiSwap
sparer 3 millioner dollar i brukerfond og 300 millioner $ MIM poletter
hvis du er en kryptojournalist som leter etter kommentarer/eksklusive detaljer fra teamet som fant utnyttelsen, gi meg beskjed 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Blockchain-sikkerhetsrevisjonsfirmaet Statemind gjennomgikk koden til ti topp blockchain-protokoller på jakt etter tilpassede prekompilere som kan være potensielt farlige. Tidligere erfaringer, forklarte blockchain-revisjonsfirmaet, har vist at tilpassede forhåndskompileringer kan bli stadig farligere i riktig miljø.
I følge forskningen hadde Avalanche og andre en forhåndskompilering "som gjorde det mulig for vilkårlige anrop å bli rutet gjennom prekompileringen som videresender msg.sender." For noen protokoller betydde det at hvem som helst kunne ringe på vegne av protokollens kontrakt.
Statemind.io er et ledende blockchain-sikkerhetsrevisjonsselskap med over 100,000 10 LoC of Solidity og Vyper-erfaring. Denne enorme erfaringen har ført til mer enn $14B i TVL sikret og firmaet plassert på 2022. plass i Paradigm CTF XNUMX. Takket være Statemind, er alle «fondene SAFU», og kryptovalutaindustrien har en ny white hat-helt.
Kilde: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/