εκμεταλλεύεται μαστίζουν τακτικά τη βιομηχανία blockchain και τα πρωτόκολλα DeFi όπως ποτέ πριν. Σχεδόν κάθε μέρα που περνά υπάρχει μια άλλη ιστορία τρόμου ενός γνωστού πρωτοκόλλου που εξαντλείται από κεφάλαια από χάκερ μέσω μιας εκμετάλλευσης που θα μπορούσε να είχε συλληφθεί εκ των προτέρων. Ακόμη χειρότερο είναι ο αντίκτυπος που μπορεί να έχουν οι ειδήσεις στην κοινότητα του κρυπτονομίσματος που επηρεάζεται, το οποίο μπορεί να καταρρεύσει σε αξία και να χάσει την πολύτιμη υποστήριξη.
Αυτός είναι ακριβώς ο λόγος για τον οποίο μια κρίσιμη ευπάθεια και ένας ανώνυμος tipster λευκών καπέλων καθήλωσαν πρόσφατα την κοινότητα κρυπτογράφησης και οδήγησαν σε μια ευρεία δημόσια έρευνα στο Twitter μεταξύ κορυφαίων προγραμματιστών blockchain. Αλλά ποιος ακριβώς βρισκόταν πίσω από την ανακάλυψη που έσωσε τη βιομηχανία κρυπτονομισμάτων συνολικά πάνω από 650 εκατομμύρια δολάρια σε αξία;
Ακολουθούν οι λεπτομέρειες του περιστατικού και ο τρόπος με τον οποίο εξελίχθηκε σε μια ευρεία αναζήτηση για την εταιρεία ελέγχου ασφάλειας blockchain πίσω από την ανακάλυψη. Θα αποκαλύψουμε επίσης ποιοι ακριβώς είναι οι ήρωες.
Γιατί το Crypto Twitter ξεκίνησε μια έρευνα για έναν ανώνυμο Tipster
Οι αναδυόμενες τεχνολογίες υποβάλλονται σε αυστηρά stress tests χρησιμοποιώντας το κοινό ως beta testers. Αν και τις περισσότερες φορές η ομάδα ανάπτυξης έχει τις πιο αγνές προθέσεις, ακόμη και η πιο μικροσκοπική ευπάθεια μπορεί να εκμεταλλευτεί, ώστε να μην μπορεί να αφεθεί κανένα πρόβλημα όταν πρόκειται για καθαρό και ασφαλή κώδικα.
Ωστόσο, είναι αδύνατο να διαβάσετε τους τίτλους των κρυπτογραφικών μέσων χωρίς να σκοντάφτετε σε ιστορία μετά από ιστορία εκατομμυρίων δολαρίων που χάθηκαν μέσα σε λίγες στιγμές. Τα έργα που επηρεάζονται δυσκολεύονται να ανακάμψουν και η κοινότητα υποφέρει ως αποτέλεσμα. Οι προγραμματιστές συνήθως καθυστερούν να μεταδίδουν τα άσχημα νέα στην κοινότητα σχετικά με το τι ακριβώς συνέβη και γιατί, και στη συνέχεια δέχονται απρόθυμα την αντίδραση και τις συνέπειες.
Αλλά ένα πρόσφατο παράδειγμα που ήταν δημοφιλές στο Twitter ήταν ένα από τα σπάνια ευτυχισμένα τέλος που έχουν κατακτήσει την καρδιά της κοινότητας κρυπτογράφησης. Ένας ανώνυμος tipster εξοικονόμησε αρκετά κορυφαία πρωτόκολλα κρυπτογράφησης - όπως το Avalanche (AVAX), το Abracadabra (MIM), το SushiSwap (SUSHI) και άλλα - έως και μισό δισεκατομμύριο δολάρια σε αξία.
Η ανακάλυψη White Hat οδηγεί σε εξοικονόμηση κρυπτονομισμάτων άνω των 650 εκατομμυρίων δολαρίων
Οι εκτιμώμενες ζημιές και τα πιθανά θύματα περιλαμβάνουν το Avalanche περίπου στα 350 εκατομμύρια δολάρια. Abracadabra με μάρκες MIM αξίας περίπου 300 εκατομμυρίων δολαρίων και επιπλέον 3 εκατομμύρια δολάρια σε κεφάλαια χρηστών. Nereus Finance με σχεδόν 60 εκατομμύρια $ σε μάρκες NXUSD. και περίπου 100 $ σε κεφάλαια από δανεισμό SUSHI. Υπάρχει επίσης ένας άγνωστος αντίκτυπος που σχετίζεται με το Δίκτυο Boba.
Δεδομένου του τεράστιου ποσού των κεφαλαίων που διατηρούνται ασφαλείς, οι προγραμματιστές των επηρεαζόμενων πρωτοκόλλων έφτασαν στο Twitter αναζητώντας τον ανώνυμο tipster που έστειλε την ανακάλυψή τους στο ImmuneFi. Ξεκίνησε με τον βασικό προγραμματιστή του SushiSwap, Matthew Lilley, ο οποίος έκανε tweet σχετικά με το θέμα και έκανε την έρευνα στην τάση.
Το Kashi Markets στο Avalanche υποβλήθηκε σε whitehack μετά την ανακάλυψη ενός φορέα επίθεσης που εισήχθη από την προμεταγλώττιση Native Asset Call στο Avalanche. Η ομάδα σούσι μπόρεσε να επικυρώσει την αναφορά, η οποία υποβλήθηκε από έναν whitehacker στις @immunefi, δημιουργώντας ένα απλό PoC. 1/6
— Είμαι λογισμικό 🦇🔊 (@MatthewLilley) Σεπτέμβριος 8, 2022
Τις επόμενες ώρες, ένα ντόμινο από προγραμματιστές άρχισε να εμφανίζεται και να αποκαλύπτει την ευπάθεια και να εργάζεται για μια άμεση διόρθωση.
1/🧙🏼♂️!
Έχουμε ειδοποιηθεί για μια πιθανή ευπάθεια στα καζάνια μας Avalanche.
Δεν χάθηκαν κεφάλαια χρηστών, η ευπάθεια έχει πλέον επιδιορθωθεί και όλες οι εξασφαλίσεις έχουν εξασφαλιστεί.
📖 Διαβάστε περισσότερα για τη νεκροτομή μας εδώ👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Σεπτέμβριος 8, 2022
Το Avalanche, το Abracadabra και άλλοι έρχονται μπροστά με τον ταπεινό ήρωα
Μόλις σήμερα, ο Επικεφαλής Μηχανικής της Ava Labs, Πάτρικ Ο'Γκρέιντι, πήγε στο Twitter για να εκφράσει τις ευχαριστίες του στην Statemind, η οποία αργότερα προχώρησε ως εταιρεία ασφάλειας blockchain για να ανακαλύψει ευρέως την ευπάθεια.
👀👀@statemindio εμφανίστηκε ως ο ανώνυμος whitehat που ενημέρωσε τις εμπλεκόμενες ομάδες: https://t.co/MmG4hkkad7
Ευχαριστούμε και πάλι για όλη την εργασία σας για να ειδοποιήσετε την κοινότητα για το ζήτημα! 🫡
— Patrick "The Faucet" O'Grady 🔺 (@_patrickogrady) Σεπτέμβριος 8, 2022
Ο επίσημος λογαριασμός του Abracadabra στο Twitter εξέφρασε επίσης τις βαθιές ευχαριστίες του που επέστησε την προσοχή στην κρίσιμη ευπάθεια και έσωσε την κοινότητα κρυπτογράφησης για μια ακόμη ιστορία τρόμου.
!
Θα θέλαμε να ευχαριστήσουμε θερμά την ελεγκτική εταιρεία @statemindio για την αναφορά της ευπάθειας που αναφέρεται στην τελευταία μας ανακοίνωση. 🔮
Χάρη στην έκθεσή τους καταφέραμε να εξασφαλίσουμε όλα τα κεφάλαια και να συνεργαστούμε @avalancheavax για να επιδιορθώσετε την ευπάθεια!🔥
— 🧙🏼♂️ (@MIM_Spell) Σεπτέμβριος 8, 2022
Τα τρωτά σημεία επιδιορθώθηκαν σε χρόνο ρεκόρ. Και το Avalanche και το Abracadabra έχουν μοιράστηκε μια νεκροψία για την κατάσταση. Άλλες μπλοκ αλυσίδες που επηρεάζονται είναι πιθανό να ακολουθήσουν και να παρέχουν διαφάνεια στην κοινότητα γενικότερα.
Ποια είναι η ομάδα πίσω από το White Hat Heroics;
Ποια ακριβώς είναι η ομάδα πίσω από την ανακάλυψη; Ήμασταν σε επαφή με έναν blogger που συνεργάζεται επίσης με την εταιρεία για να μάθουμε περισσότερα.
Γνωρίζω τους ανώνυμους χάκερ που αποκάλυψαν την εκμετάλλευση @avalancheavax @ME_Spell & @SushiSwap
εξοικονομώντας 3 εκατομμύρια δολάρια σε κεφάλαια χρηστών και 300 εκατομμύρια $ MIM μάρκες
αν είστε δημοσιογράφος κρυπτογράφησης που αναζητάτε σχόλια/αποκλειστικές λεπτομέρειες από την ομάδα που βρήκε το exploit ενημερώστε με 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Σεπτέμβριος 8, 2022
Η εταιρεία ελέγχου ασφάλειας Blockchain Statemind εξέτασε τον κώδικα των δέκα κορυφαίων πρωτοκόλλων blockchain σε αναζήτηση προσαρμοσμένων προμεταγλωττισμένων που θα μπορούσαν να είναι δυνητικά επικίνδυνα. Οι προηγούμενες εμπειρίες, εξήγησε η ελεγκτική εταιρεία blockchain, έχουν δείξει ότι οι προσαρμοσμένες προμεταγλωττίσεις μπορούν να είναι όλο και πιο επικίνδυνες στο σωστό περιβάλλον.
Σύμφωνα με την έρευνα, η Avalanche και άλλοι είχαν μια προμεταγλώττιση «που επέτρεπε σε αυθαίρετες κλήσεις να δρομολογούνται μέσω της προμεταγλωττισμένης που αναμεταδίδει το msg.sender». Για ορισμένα πρωτόκολλα, αυτό σήμαινε ότι ο καθένας μπορούσε να κάνει κλήσεις για λογαριασμό της σύμβασης του πρωτοκόλλου.
Statemind.io είναι μια κορυφαία εταιρεία ελέγχου ασφάλειας blockchain με πάνω από 100,000 LoC Solidity και εμπειρίας Vyper. Αυτή η τεράστια εμπειρία οδήγησε σε περισσότερα από 10 δισεκατομμύρια δολάρια σε TVL εξασφάλιση και την εταιρεία στην 14η θέση στο Paradigm CTF 2022. Χάρη στο Statemind, όλα τα «κεφάλαια είναι SAFU» και η βιομηχανία κρυπτονομισμάτων έχει έναν νέο ήρωα λευκού καπέλου.
Πηγή: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/