Pagsasamantala ay regular na sinasaktan ang industriya ng blockchain at mga protocol ng DeFi tulad ng dati. Halos bawat araw na lumilipas ay may isa pang nakakatakot na kuwento ng isang kilalang protocol na naubos ang mga pondo ng mga hacker sa pamamagitan ng pagsasamantala na maaaring nahuli nang maaga. Ang mas masahol pa ay ang epekto ng balita sa komunidad ng naapektuhang cryptocurrency, na maaaring bumagsak sa halaga at mawalan ng mahalagang suporta.
Ito ay eksakto kung bakit ang isang kritikal na kahinaan at isang hindi kilalang white hat tipster ay nakakuha ng crypto community kamakailan at humantong sa isang malawakang pampublikong pagsisiyasat sa Twitter sa pagitan ng mga nangungunang developer ng blockchain. Ngunit sino ba talaga ang nasa likod ng pagtuklas na nagligtas sa industriya ng cryptocurrency ng pinagsamang halaga ng higit sa $650 milyon?
Narito ang mga detalye ng insidente at kung paano ito umakyat sa malawakang paghahanap para sa blockchain security auditing firm sa likod ng pagtuklas. Ibubunyag din namin kung sino ang mga bayani.
Bakit Naglunsad ang Crypto Twitter ng Pagsisiyasat Sa Isang Hindi Nakikilalang Tipter
Ang mga umuusbong na teknolohiya ay inilalagay sa pamamagitan ng mahigpit na mga pagsubok sa stress gamit ang publiko bilang mga beta tester. Bagama't mas madalas kaysa sa hindi, ang development team ay may pinakamadalisay na intensyon, kahit na ang pinakamaliit na kahinaan ay maaaring mapagsamantalahan kaya walang mga batong maaaring pabayaan pagdating sa malinis at secure na code.
Gayunpaman, imposibleng basahin ang mga headline ng crypto media nang hindi natitisod sa sunod-sunod na kuwento ng milyun-milyong dolyar na nawala sa ilang sandali. Ang mga apektadong proyekto ay maaaring magpumilit na makabangon, at ang komunidad ay nagdurusa bilang resulta. Karaniwang natigil ang mga developer sa paghahatid ng masamang balita sa komunidad tungkol sa kung ano ang eksaktong nangyari at bakit, at pagkatapos ay atubiling natatanggap ang backlash at fallout.
Ngunit ang isang kamakailang halimbawa na nagte-trend sa Twitter ay isa sa mga bihirang masayang pagtatapos na nakakuha ng puso ng komunidad ng crypto. Isang hindi kilalang tipster ang nag-save ng ilang nangungunang crypto protocol — gaya ng Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI), at iba pa — hanggang kalahating bilyong dolyar ang halaga.
Ang White Hat Discovery ay Humahantong Sa Higit sa $650M Sa Cryptocurrency Na Nai-save
Ang mga tinantyang pinsala at magiging biktima ay kinabibilangan ng Avalanche sa humigit-kumulang $350M; Abracadabra sa humigit-kumulang $300M na halaga ng mga token ng MIM at karagdagang $3M sa mga pondo ng user; Nereus Finance na may halos $60M sa mga token ng NXUSD; at humigit-kumulang $100K na pondo mula sa SUSHI lending. Mayroon ding hindi alam na epekto na nauugnay sa Boba Network.
Dahil sa napakalaking halaga ng mga pondong pinananatiling ligtas, ang mga developer ng mga apektadong protocol ay nagpunta sa Twitter upang hanapin ang hindi kilalang tipster na nagpadala ng kanilang natuklasan sa ImmuneFi. Nagsimula ito sa SushiSwap core dev na si Matthew Lilley, na nag-tweet sa paksa at naging trending ang imbestigasyon.
Na-whitehack ang Kashi Markets sa Avalanche kasunod ng pagkatuklas ng attack vector na ipinakilala ng Native Asset Call precompile sa Avalanche. Nagawa ng koponan ng Sushi na patunayan ang ulat, na isinumite ng isang whitehacker sa @immunefi, sa pamamagitan ng paggawa ng isang simpleng PoC. 1/6
— Ako ay Software 🦇🔊 (@MatthewLilley) Septiyembre 8, 2022
Sa mga sumunod na oras, nagsimulang lumabas ang isang domino-effect ng mga developer at ihayag ang kahinaan at gumawa ng agarang pag-aayos.
1/🧙🏼♂️!
Naabisuhan kami tungkol sa posibleng kahinaan sa aming Avalanche cauldrons.
Walang mga pondo ng gumagamit ang nawala, ang kahinaan ay na-patch na ngayon at lahat ng collateral ay na-secure.
📖 Magbasa pa tungkol sa aming post mortem dito👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) Septiyembre 8, 2022
Ang Avalanche, Abracadabra, At Iba Pa ay Sumulong Kasama Ang Mapagpakumbabang Bayani
Hanggang ngayon lang nang pumunta si Ava Labs Head of Engineering Patrick O'Grady sa Twitter upang magpasalamat sa Statemind, na kalaunan ay sumulong bilang blockchain security firm upang matuklasan ang kahinaan nang malawakan.
👀👀@statemindio lumapit bilang ang hindi kilalang whitehat na nagbigay ng tip sa mga kasangkot na koponan: https://t.co/MmG4hkkad7
Salamat muli para sa lahat ng iyong trabaho upang alertuhan ang komunidad ng isyu! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) Septiyembre 8, 2022
Ang opisyal na Abracadabra Twitter account ay nagpahayag din ng kanilang malalim na pasasalamat sa pagtawag ng pansin sa kritikal na kahinaan at pag-save ng crypto community para sa isa pang nakakatakot na kuwento.
🧙🏼♂️!
Nais naming pasalamatan nang husto ang auditing firm @statemindio para sa pag-uulat ng kahinaan na binanggit sa aming pinakabagong anunsyo. 🔮
Salamat sa kanilang ulat, nagawa naming ma-secure ang lahat ng mga pondo at makipagtulungan @avalancheavax para i-patch ang vulnerability!🔥
— 🧙🏼♂️ (@MIM_Spell) Septiyembre 8, 2022
Ang mga kahinaan ay naayos sa record na oras. Parehong mayroon ang Avalanche at Abracadabra nagbahagi ng post mortem sa sitwasyon. Ang iba pang mga apektadong blockchain ay malamang na sumunod at magbigay ng transparency sa komunidad sa pangkalahatan.
Sino Ang Koponan sa Likod ng White Hat Heroics?
Sino nga ba ang pangkat sa likod ng pagtuklas? Nakipag-ugnayan kami sa isang blogger na nagtatrabaho rin sa kumpanya para matuto pa.
Kilala ko ang mga hindi kilalang hacker na nagsiwalat ng pagsasamantala @avalancheavax @MIM_Spell & @SushiSwap
nagtitipid ng $3m sa mga pondo ng user at 300m $AKO token
kung isa kang crypto journalist na naghahanap ng mga komento/eksklusibong detalye mula sa team na nakahanap ng exploit ipaalam sa akin 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) Septiyembre 8, 2022
Sinuri ng Blockchain security auditing firm na Statemind ang code ng sampung nangungunang protocol ng blockchain sa paghahanap ng mga custom na precompile na maaaring maging mapanganib. Ang mga nakaraang karanasan, ipinaliwanag ng blockchain auditing firm, ay nagpakita na ang mga custom na precompile ay maaaring lalong mapanganib sa tamang kapaligiran.
Ayon sa pananaliksik, ang Avalanche at ang iba pa ay nagkaroon ng precompile "na nagpapahintulot para sa mga arbitrary na tawag na i-ruta sa pamamagitan ng precompile na nagre-relay ng msg.sender." Para sa ilang protocol, nangangahulugan iyon na maaaring tumawag ang sinuman sa ngalan ng kontrata ng protocol.
Statemind.io ay isang nangungunang blockchain security auditing company na may higit sa 100,000 LoC ng Solidity at Vyper na karanasan. Ang malawak na karanasang ito ay humantong sa higit sa $10B sa TVL na na-secure at ang kumpanya ay inilagay sa ika-14 sa Paradigm CTF 2022. Salamat sa Statemind, lahat ng "mga pondo ay SAFU," at ang industriya ng cryptocurrency ay may bagong puting sumbrero na bayani.
Pinagmulan: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/