eksploitasi telah kerap melanda industri blockchain dan protokol DeFi seperti tidak pernah sebelum ini. Hampir setiap hari berlalu, terdapat satu lagi kisah seram mengenai protokol terkenal yang dikuras dana oleh penggodam melalui eksploitasi yang mungkin telah ditangkap lebih awal. Lebih teruk lagi ialah kesan berita itu terhadap komuniti mata wang kripto yang terjejas, yang boleh merudum nilai dan kehilangan sokongan berharga.
Inilah sebabnya kerentanan kritikal dan pemberi maklumat topi putih tanpa nama memikat komuniti crypto baru-baru ini dan membawa kepada penyiasatan awam yang meluas di Twitter antara pemaju blockchain terkemuka. Tetapi siapa sebenarnya di sebalik penemuan yang menyelamatkan industri mata wang kripto dengan nilai gabungan lebih daripada $650 juta?
Berikut ialah butiran kejadian dan bagaimana ia berkembang menjadi pencarian meluas untuk firma pengauditan keselamatan blockchain di sebalik penemuan itu. Kami juga akan mendedahkan dengan tepat siapa wira.
Mengapa Crypto Twitter Melancarkan Penyiasatan Terhadap Pemberi Maklumat Tanpa Nama
Teknologi baru muncul melalui ujian tekanan yang ketat menggunakan orang ramai sebagai penguji beta. Walaupun lebih kerap daripada tidak pasukan pembangunan mempunyai niat yang paling murni, walaupun kelemahan yang paling kecil boleh dieksploitasi supaya tiada perkara yang boleh dibiarkan apabila ia berkaitan dengan kod yang bersih dan selamat.
Namun adalah mustahil untuk membaca tajuk utama media kripto tanpa tersandung pada cerita demi kisah jutaan dolar yang hilang dalam beberapa saat. Projek yang terjejas boleh bergelut untuk pulih, dan masyarakat menderita akibatnya. Pembangun biasanya terperangkap dalam menyampaikan berita buruk kepada komuniti tentang apa sebenarnya yang berlaku dan sebabnya, dan kemudian dengan berat hati menerima tindak balas dan kesan buruk.
Tetapi contoh terbaru yang menjadi sohor kini di Twitter adalah salah satu pengakhiran gembira yang jarang berlaku yang telah menawan hati komuniti crypto. Pemberi maklumat tanpa nama telah menyelamatkan beberapa protokol kripto teratas — seperti Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) dan lain-lain — nilai sebanyak setengah bilion dolar.
Penemuan White Hat Membawa Kepada Lebih Daripada $650J Dalam Matawang Kripto Disimpan
Anggaran kerosakan dan bakal mangsa termasuk Avalanche pada kira-kira $350J; Abracadabra pada sekitar $300M token MIM dan tambahan $3J dalam dana pengguna; Nereus Finance dengan hampir $60J dalam token NXUSD; dan kira-kira $100K dana daripada pinjaman SUSHI. Terdapat juga kesan yang tidak diketahui berkaitan dengan Rangkaian Boba.
Memandangkan jumlah dana yang sangat besar disimpan selamat, pembangun protokol yang terjejas telah menggunakan Twitter untuk mencari pemberi maklumat tanpa nama yang menghantar penemuan mereka kepada ImmuneFi. Ia bermula dengan pembangun teras SushiSwap Matthew Lilley, yang menulis tweet mengenai topik itu dan mendapat aliran penyiasatan.
Pasaran Kashi di Avalanche telah diretas putih berikutan penemuan vektor serangan yang diperkenalkan oleh Prakompil Panggilan Aset Asli pada Avalanche. Pasukan sushi dapat mengesahkan laporan itu, yang diserahkan oleh penggodam putih pada @immunefi, dengan membuat PoC yang mudah. 1/6
— Saya Perisian 🦇🔊 (@MatthewLilley) September 8, 2022
Dalam beberapa jam selepas itu, kesan domino pembangun mula tampil ke hadapan dan mendedahkan kelemahan dan berusaha untuk memperbaikinya dengan segera.
1/🧙🏼♂️!
Kami telah dimaklumkan tentang kemungkinan kelemahan pada kawah Avalanche kami.
Tiada dana pengguna telah hilang, kelemahan kini ditambal dan semua cagaran telah dijamin.
📖 Baca lebih lanjut mengenai post mortem kami di sini👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Avalanche, Abracadabra, Dan Lain-Lain Maju Bersama Wira Yang Rendah Hati
Hanya hari ini sahaja apabila Ketua Kejuruteraan Ava Labs Patrick O'Grady menggunakan Twitter untuk menyatakan terima kasih kepada Statemind, yang kemudiannya melangkah ke hadapan sebagai firma keselamatan blockchain untuk menemui kelemahan secara meluas.
👀👀@statemindo tampil sebagai whitehat tanpa nama yang memberitahu pasukan yang terlibat: https://t.co/MmG4hkkad7
Terima kasih sekali lagi untuk semua kerja anda untuk memaklumkan komuniti tentang isu tersebut! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) September 8, 2022
Akaun Twitter rasmi Abracadabra juga mengucapkan terima kasih yang mendalam kerana menarik perhatian kepada kelemahan kritikal dan menyelamatkan komuniti crypto untuk satu lagi kisah seram.
🧙🏼♂️!
Kami ingin mengucapkan setinggi-tinggi terima kasih kepada firma pengauditan @statemindo untuk melaporkan kelemahan yang disebutkan dalam pengumuman terbaru kami. 🔮
Terima kasih kepada laporan mereka, kami telah berjaya mendapatkan semua dana dan bekerjasama dengannya @kelaburan untuk menampal kelemahan!🔥
— 🧙🏼♂️ (@MIM_Spell) September 8, 2022
Kelemahan telah diperbaiki dalam masa yang singkat. Kedua-dua Avalanche dan Abracadabra mempunyai berkongsi bedah siasat mengenai situasi tersebut. Blockchain lain yang terjejas berkemungkinan mengikuti dan memberikan ketelusan kepada komuniti secara amnya.
Siapa Pasukan Di Sebalik White Hat Heroics?
Siapa sebenarnya pasukan di sebalik penemuan itu? Kami telah berhubung dengan seorang blogger yang juga bekerja dengan syarikat itu untuk mengetahui lebih lanjut.
Saya tahu penggodam tanpa nama yang mendedahkan eksploitasi itu @kelaburan @MIM_Eja & @Sushi Tukar
menjimatkan $3 juta dalam dana pengguna dan 300 juta $SAYA token
jika anda seorang wartawan crypto yang mencari komen/butiran eksklusif daripada pasukan yang menemui eksploitasi itu beritahu saya 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) September 8, 2022
Firma pengauditan keselamatan rantaian blok Statemind menyemak kod sepuluh protokol blokchain teratas untuk mencari prapenyusun tersuai yang mungkin berpotensi berbahaya. Pengalaman lepas, firma pengauditan blockchain menjelaskan, telah menunjukkan bahawa prapenyusun tersuai boleh menjadi semakin berbahaya dalam persekitaran yang betul.
Menurut penyelidikan, Avalanche dan yang lain mempunyai prapenyusun "yang membenarkan panggilan sewenang-wenangnya dihalakan melalui prakompil yang menyampaikan msg.sender." Untuk sesetengah protokol, ini bermakna sesiapa sahaja boleh membuat panggilan bagi pihak kontrak protokol.
Statemind.io ialah syarikat pengauditan keselamatan blockchain yang terkemuka dengan lebih 100,000 LoC pengalaman Solidity dan Vyper. Pengalaman luas ini telah membawa kepada lebih daripada $10B dalam TVL yang dijamin dan firma itu diletakkan di tempat ke-14 dalam Paradigma CTF 2022. Terima kasih kepada Statemind, semua "dana adalah SAFU," dan industri mata wang kripto mempunyai wira topi putih baharu.
Sumber: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/