Расследование White Hat Tipster, спасшего Avalanche и еще полмиллиарда в Crypto Trends в Twitter
Эксплойты регулярно преследуют индустрию блокчейнов и протоколы DeFi, как никогда раньше. Почти каждый день происходит очередная ужасная история о том, как хакеры выкачивают средства из известного протокола с помощью эксплойта, который можно было обнаружить заранее. Еще хуже то, что новости могут оказать влияние на пострадавшее криптовалютное сообщество, которое может резко упасть в цене и потерять ценную поддержку.
Именно поэтому критическая уязвимость и анонимный осведомитель в белой шляпе недавно захватили криптовалютное сообщество и привели к широкомасштабному публичному расследованию в Твиттере ведущих разработчиков блокчейна. Но кто именно стоял за открытием, которое спасло индустрию криптовалют на общую сумму более 650 миллионов долларов?
Вот подробности инцидента и того, как он превратился в широкомасштабное исследование аудиторской фирмы по безопасности блокчейна, стоящей за открытием. Мы также покажем, кто именно является героями.
Почему Crypto Twitter инициировал расследование в отношении анонимного осведомителя
Новые технологии проходят тщательное стресс-тестирование с привлечением общественности в качестве бета-тестеров. Хотя в большинстве случаев у команды разработчиков самые чистые намерения, даже самая маленькая уязвимость может быть использована, так что ни одна проблема не останется нерешенной, когда речь идет о чистом и безопасном коде.
Тем не менее невозможно читать заголовки крипто-медиа, не натыкаясь на истории после того, как истории на миллионы долларов теряются в моментах. Затронутые проекты могут столкнуться с трудностями при восстановлении, и сообщество пострадает. Разработчики обычно застревают, сообщая сообществу плохие новости о том, что именно произошло и почему, а затем неохотно получают негативную реакцию и последствия.
Но недавний пример тренда в Твиттере был одним из редких счастливых концов, который покорил сердце криптосообщества. Анонимный осведомитель спас несколько основных криптографических протоколов, таких как Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) и другие, на сумму до полумиллиарда долларов.
White Hat Discovery приводит к сохранению криптовалют на сумму более 650 миллионов долларов
Предполагаемый ущерб и потенциальные жертвы включают Лавину примерно в 350 миллионов долларов; Abracadabra до примерно 300 миллионов долларов в токенах MIM и еще 3 миллиона долларов в средствах пользователей; Nereus Finance с почти 60 миллионами долларов в токенах NXUSD; и около 100 000 долларов США в виде кредитных средств SUSHI. Существует также неизвестное воздействие, связанное с сетью Boba.
Учитывая огромное количество средств, сохраненных в безопасности, разработчики затронутых протоколов отправились в Twitter, чтобы найти анонимного информатора, который отправил свое открытие в ImmuneFi. Все началось с основного разработчика SushiSwap Мэтью Лилли, который написал в Твиттере об этой теме и сделал опрос популярным.
Kashi Markets на Avalanche был взломан после обнаружения вектора атаки, введенного предварительной компиляцией Native Asset Call на Avalanche. Команда Sushi смогла проверить отчет, который был отправлен вайтхакером на @immunefi , создав простой PoC. 1/6
— Я Программное обеспечение (@MatthewLilley) 8 сентября 2022 г.
В течение следующих нескольких часов по эффекту домино разработчики начали выявлять уязвимости и работать над немедленным решением.
1 /!
Нам сообщили о возможной уязвимости в наших котлах Avalanche.
Средства пользователей не были потеряны, уязвимость устранена, а все залоговое имущество защищено.
Узнайте больше о нашем вскрытии здесь https://t.co/2HSvPkugEs
— (@MIM_Spell) 8 сентября 2022 г.
Avalanche, Abracadabra и другие выступают со скромным героем
Буквально сегодня Патрик О'Грейди, руководитель отдела разработки Ava Labs, написал в Twitter, чтобы поблагодарить Statemind, которая позже выступила в качестве фирмы по обеспечению безопасности блокчейнов, чтобы полностью раскрыть уязвимость.
@statemindio выступил в качестве анонимного белого шляпника, который проинформировал вовлеченные команды: https://t.co/MmG4hkkad7
Еще раз спасибо за всю вашу тяжелую работу по уведомлению сообщества о проблеме!
— Патрик «Кран» О'Грэйди (@_patrickogrady) 8 сентября 2022 г.
Официальный аккаунт Abracadabra в Твиттере также выразил глубокую благодарность за то, что привлек внимание к критической уязвимости и спас криптосообщество от еще одной страшной истории.
!
Мы хотели бы поблагодарить аудиторскую фирму @statemindio за сообщение об уязвимости, упомянутой в нашем последнем объявлении.
Благодаря их отчету мы смогли защитить все средства и работать с @avalancheavax над исправлением уязвимости!
— (@MIM_Spell) 8 сентября 2022 г.
Уязвимости были устранены в рекордно короткие сроки. И Avalanche, и Abracadabra поделились вскрытием ситуации . Другие заинтересованные блокчейны, скорее всего, последуют этому примеру и обеспечат прозрачность для сообщества в целом.
Кто стоит за героизмом белых шляп?
Кто именно является командой, стоящей за открытием? Мы связались с блогером, который также работает с компанией, чтобы узнать больше.
Я знаю анонимных хакеров, которые раскрыли эксплойт @avalancheavax @MIM_Spell и @SushiSwap.
экономия 3 миллионов долларов пользовательских средств и 300 миллионов токенов MIM
если вы репортер криптовалюты и ищете эксклюзивные комментарии / подробности от команды, которая обнаружила эксплойт, дайте мне знать https://t.co/3B8axWjYqS
— notEezzy (@notEezzy) 8 сентября 2022 г.
Фирма Statemind, занимающаяся аудитом безопасности блокчейна, тщательно изучила код десяти лучших протоколов блокчейна на наличие пользовательских предварительных компиляций, которые могут быть потенциально опасными. Прошлый опыт, объяснил аудитор блокчейна, показал, что пользовательские предварительные компиляции могут быть все более опасными в правильной среде.
Согласно исследованию, у Avalanche и других была предварительная компиляция, «которая позволяла маршрутизировать произвольные вызовы через предварительную компиляцию, которая передала msg.sender». Для некоторых протоколов это означало, что любой мог совершать вызовы от имени контракта протокола.
Statemind.io — ведущая компания по аудиту безопасности блокчейнов с более чем 100 000 LoC Solidity и опытом работы с Vyper. Этот обширный опыт привел к застрахованным TVL на сумму более 10 миллиардов долларов, и компания заняла 14-е место в CTF Paradigm 2022. Благодаря Statemind все «фонды — это SAFU», а в криптовалютной индустрии появился новый герой белой шляпы.