Ang Port Finance, isang protocol sa pagpapautang na nakabase sa Solana, ay nagbayad ng $630,000 na pabuya sa isang hacker ng puting sumbrero na tumulong na maiwasan ang isang potensyal na $25 milyon na kahinaan mula sa platform, Inihayag ng cybersecurity firm na Halborn noong Miyerkules.
Nakatanggap ang hacker ng $450,000 sa PORT, ang utility token na nagpapagana sa lending protocol, at $180,000 sa fiat, na minarkahan ang pagtatapos ng bounty program ng proyekto.
Ang white-hat hacker ay isang computer hacker na gumagamit ng kanilang teknikal na kaalaman at karanasan upang mapabuti ang seguridad sa pamamagitan ng pagtuklas ng mga bug at butas.
Paano Ito Nangyari
Ipinaliwanag ni Halborn sa kaba na ang puting sumbrero na pinangalanang nojob ay nakatuklas ng butas sa Port Finance na maaaring humantong sa isang $25 milyon na pagkawala kung pinagsamantalahan ng masasamang aktor. Kung nangyari iyon, ang Port ay isa na lamang biktima ng walang katapusang DeFi hack sa industriya ng crypto.
Natuklasan ng white-hat hacker ang bug noong Marso habang nagsu-surf sa internet at agad itong iniulat sa Solana-based na platform sa pamamagitan ng ImmuneFi, isang web3 bug bounty platform.
Sinabi ni Halborn na ang isang pag-atake sa Port ay posible dahil ang disenyo ng protocol nagbibigay-daan sa "mga pool na magtakda ng bonus rate para sa pag-liquidate ng mga asset at isang threshold na ginagawang mahina ang mga pautang sa pagpuksa." Bilang karagdagan, pinapayagan ng protocol ang isang liquidator na mag-withdraw hanggang sa "50% ng hiniram na halaga ng isang obligasyon at ang ipinahiwatig na bonus."
Karamihan sa mga cryptocurrency DeFi lenders ay nag-aalok ng mga pautang kung saan ang loan-to-value (LTV) ratio ay mas mababa sa isa, ibig sabihin ang collateral ay mas mahalaga kaysa sa mismong loan. Nagiging liquidatable ang loan kung ang collateral value nito ay masyadong mababa dahil sa mataas na LTV, ipinaliwanag ni Halborn.
Halimbawa, nagamit sana ng isang attacker ang pamamaraang ito upang pagsamantalahan ang Port Finance sa pamamagitan ng pagpunta sa mga reserbang may mataas na rate ng bonus na R1 at mababang LTV, kung saan ang mga halaga ay pinagsama-sama ng higit sa 100%. Pagkatapos ay magdeposito ng ilang pondo sa R1 at ilang mas malalaking halaga sa R2.
Ang mapagsamantala ay kukuha ng pautang mula sa R2, ang parehong halaga ng mga pondong naka-lock sa R1, at pagkatapos ay lalayo pa upang i-clear ang R2 collateral, na ginagawang liquidatable ang obligasyon.
Napansin ng cybersecurity firm na inayos ng Port Finance ang bug sa pamamagitan ng “pagbabago sa kalkulasyon ng maximum na halaga ng withdrawal mula 50% upang ibabatay sa kaugnayan sa pagitan ng maximum na pinahihintulutang halaga ng paghiram para sa isang obligasyon, ang aktwal na halaga ng hiniram, at ang L2V ng reserba. ”
Samantala, hindi ito ang unang pagkakataon na nabigyan ng gantimpala ang isang hacker ng puting sumbrero para sa pagtukoy ng isang bug. Sa unang bahagi ng taong ito, ang nangungunang cryptocurrency trading platform na Coinbase ay nagbayad ng $250,000 na bounty sa isang puting sumbrero para sa pagtulong na maiwasan ang isang "market-nuking" bug sa exchange.
Pinagmulan: https://coinfomania.com/port-finance-pays-white-hat-hacker-630k/#utm_source=rss&%23038;utm_medium=rss&%23038;utm_campaign=port-finance-pays-white-hat-hacker -630k