udnytter har jævnligt plaget blockchain-industrien og DeFi-protokoller som aldrig før. Næsten hver dag, der går, er der en anden skrækhistorie om en velkendt protokol, der bliver drænet for penge af hackere gennem en udnyttelse, der kunne være blevet fanget på forhånd. Endnu værre er den indflydelse, nyhederne kan have på samfundet af den berørte kryptovaluta, som kan gå ned i værdi og miste værdifuld støtte.
Det er præcis grunden til, at en kritisk sårbarhed og en anonym tipster med hvid hat fangede kryptosamfundet for nylig og førte til en udbredt offentlig undersøgelse på Twitter mellem top blockchain-udviklere. Men hvem stod egentlig bag opdagelsen, der sparede cryptocurrency-industrien for en samlet værdi på mere end 650 millioner dollars?
Her er detaljerne om hændelsen, og hvordan det udviklede sig til en udbredt søgning efter blockchain-sikkerhedsrevisionsfirmaet bag opdagelsen. Vi vil også afsløre præcis, hvem heltene er.
Hvorfor Crypto Twitter lancerede en undersøgelse af en anonym tipser
Nye teknologier udsættes for strenge stresstests ved at bruge offentligheden som betatestere. Selvom udviklingsteamet oftest har de reneste intentioner, kan selv den mindste sårbarhed udnyttes, så ingen sten kan stå uvendt, når det kommer til ren og sikker kode.
Alligevel er det umuligt at læse kryptomedieoverskrifter uden at snuble over historie efter historie om millioner af dollars tabt i løbet af få øjeblikke. Berørte projekter kan kæmpe for at komme sig, og samfundet lider som følge heraf. Udviklere sidder normalt fast i at levere de dårlige nyheder til fællesskabet om, hvad der præcist skete og hvorfor, og modtager derefter modvilligt tilbageslag og nedfald.
Men et nyligt eksempel, der var trending på Twitter, var en af de sjældne lykkelige slutninger, der har fanget hjertet af kryptosamfundet. En anonym tipster reddede adskillige topkryptoprotokoller - såsom Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) og andre - så meget som en halv milliard dollars i værdi.
White Hat Discovery fører til mere end $650 mio. sparet i kryptovaluta
Estimerede skader og potentielle ofre inkluderer lavine til ca. $350 mio.; Abracadabra til en værdi af omkring $300 mio. MIM-tokens og yderligere $3 mio. i brugermidler; Nereus Finance med næsten $60 millioner i NXUSD-tokens; og omkring 100 USD i midler fra SUSHI-lån. Der er også en ukendt effekt relateret til Boba Network.
I betragtning af den enorme mængde midler, der blev opbevaret i sikkerhed, tog udviklere af de berørte protokoller til Twitter på jagt efter den anonyme tipster, der sendte deres opdagelse til ImmuneFi. Det begyndte med SushiSwap-kerneudvikleren Matthew Lilley, som tweetede om emnet og fik undersøgelsen til at trende.
Kashi Markets on Avalanche blev whitehacket efter opdagelsen af en angrebsvektor introduceret af Native Asset Call-prækompileringen på Avalanche. Sushi-teamet var i stand til at validere rapporten, som blev indsendt af en whitehacker på @immunefi, ved at lave en simpel PoC. 1/6
— Jeg er software 🦇🔊 (@MatthewLilley) September 8, 2022
I timerne efter begyndte en dominoeffekt af udviklere at komme frem og afsløre sårbarheden og arbejde på en øjeblikkelig løsning.
1/🧙🏼♂️!
Vi har fået besked om en mulig sårbarhed på vores lavinkedler.
Ingen brugermidler er gået tabt, sårbarheden er nu rettet, og al sikkerhed er sikret.
📖 Læs mere om vores obduktion her👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra og andre kommer frem med den ydmyge helt
Det var først i dag, da Ava Labs' ingeniørchef Patrick O'Grady tog til Twitter for at udtrykke tak til Statemind, som senere trådte frem som blockchain-sikkerhedsfirmaet for at opdage sårbarheden bredt.
👀👀@statemindio kom frem som den anonyme hvide hat, der tippede de involverede hold: https://t.co/MmG4hkkad7
Endnu en gang tak for alt dit arbejde med at advare samfundet om problemet! 🫡
— Patrick "The Faucet" O'Grady 🔺 (@_patrickogrady) September 8, 2022
Den officielle Abracadabra Twitter-konto udtrykte også deres dybe tak for at henlede opmærksomheden på den kritiske sårbarhed og redde kryptofællesskabet for endnu en rædselshistorie.
🧙🏼♂️!
Vi vil gerne takke revisionsfirmaet dybt @statemindio for at rapportere den sårbarhed, der er nævnt i vores seneste meddelelse. 🔮
Takket være deres rapport er det lykkedes at sikre alle midlerne og arbejde sammen med @avalancheavax at lappe sårbarheden!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Sårbarhederne blev rettet på rekordtid. Det har både Avalanche og Abracadabra delte en post mortem om situationen. Andre berørte blockchains vil sandsynligvis følge efter og give gennemsigtighed til samfundet som helhed.
Hvem er holdet bag The White Hat Heroics?
Hvem er holdet bag opdagelsen? Vi var i kontakt med en blogger, som også arbejder sammen med virksomheden for at lære mere.
Jeg kender de anonyme hackere, der afslørede udnyttelsen til @avalancheavax @MIM_Stave & @SushiSwap
sparer 3 mio. USD i brugermidler og 300 mio $ MIM poletter
hvis du er en kryptojournalist, der leder efter kommentarer/eksklusive detaljer fra det team, der fandt udnyttelsen, så lad mig det vide 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Blockchain-sikkerhedsrevisionsfirmaet Statemind gennemgik koden for ti top blockchain-protokoller på jagt efter tilpassede prækompiler, der kunne være potentielt farlige. Tidligere erfaringer, forklarede blockchain-revisionsfirmaet, har vist, at tilpassede prækompileringer kan være stadig farligere i det rigtige miljø.
Ifølge undersøgelsen havde Avalanche og andre en prækompilering "der gjorde det muligt at dirigere vilkårlige opkald gennem prækompileringen, der videresender msg.sender." For nogle protokoller betød det, at enhver kunne foretage opkald på vegne af protokollens kontrakt.
Statemind.io er et førende blockchain-sikkerhedsrevisionsfirma med over 100,000 LoC of Solidity og Vyper-erfaring. Denne store erfaring har ført til mere end $10B i TVL sikret og firmaet placeret på en 14. plads i Paradigm CTF 2022. Takket være Statemind er alle "midler SAFU", og cryptocurrency-industrien har en ny hvid hat-helt.
Kilde: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/