Statemind ratuje lawinę i inne pół miliarda w krypto

Exploity regularnie nękają branżę blockchain i protokoły DeFi, jak nigdy dotąd. Prawie każdego dnia pojawia się kolejna przerażająca historia o tym, jak dobrze znany protokół jest wysysany z funduszy przez hakerów za pomocą exploita, który mógł zostać złapany z wyprzedzeniem. Jeszcze gorszy jest wpływ, jaki wiadomości mogą mieć na społeczność dotkniętej kryptowalutą, która może stracić na wartości i stracić cenne wsparcie. 

Właśnie dlatego krytyczna luka w zabezpieczeniach i anonimowy typer w białym kapeluszu zachwycił ostatnio społeczność kryptograficzną i doprowadziły do ​​szeroko zakrojonego publicznego śledztwa na Twitterze między czołowymi programistami blockchain. Ale kto dokładnie stał za odkryciem, które uratowało przemysł kryptowalutowy o łącznej wartości ponad 650 milionów dolarów? 

Oto szczegóły incydentu i sposób, w jaki przekształcił się on w szeroko zakrojone poszukiwania firmy audytorskiej ds. bezpieczeństwa blockchain, która stoi za odkryciem. Ujawnimy również dokładnie, kim są bohaterowie. 

Dlaczego Crypto Twitter rozpoczął dochodzenie w sprawie anonimowego typera

Nowe technologie są poddawane rygorystycznym testom warunków skrajnych, wykorzystując publiczność jako beta-testerów. Chociaż najczęściej zespół programistów ma najczystsze intencje, nawet najmniejsza luka może zostać wykorzystana, dzięki czemu żaden kamień nie może pozostać niezauważony, jeśli chodzi o czysty i bezpieczny kod. 

Jednak niemożliwe jest czytanie nagłówków w mediach kryptograficznych bez natknięcia się na historię po historii o milionach dolarów straconych w ciągu kilku chwil. Projekty, których to dotyczy, mogą mieć trudności z odbudową, w wyniku czego cierpi społeczność. Deweloperzy zwykle utknęli w przekazywaniu społeczności złych wieści o tym, co dokładnie się stało i dlaczego, a następnie niechętnie otrzymują reakcje i skutki uboczne. 

Ale niedawny przykład, który zyskał popularność na Twitterze, był jednym z rzadkich szczęśliwych zakończeń, które podbiły serce społeczności kryptograficznej. Anonimowy typer uratował kilka najlepszych protokołów kryptograficznych — takich jak Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) i inne — o wartości nawet pół miliarda dolarów.  

White Hat Discovery prowadzi do ponad 650 mln USD zaoszczędzonych kryptowalut 

Szacowane szkody i potencjalne ofiary obejmują Avalanche na około 350 mln USD; Abracadabra o wartości około 300 milionów dolarów tokenów MIM i dodatkowe 3 miliony dolarów w funduszach użytkowników; Nereus Finance z prawie 60 mln USD w tokenach NXUSD; i około 100 XNUMX USD w środkach z pożyczek SUSHI. Istnieje również nieznany wpływ związany z siecią Boba. 

Biorąc pod uwagę ogromną ilość bezpiecznych funduszy, twórcy zaatakowanych protokołów zabrali się do Twittera w poszukiwaniu anonimowego typera, który przesłał swoje odkrycie do ImmuneFi. Zaczęło się od głównego programisty SushiSwap, Matthew Lilleya, który napisał na Twitterze na ten temat i sprawił, że śledztwo zyskało popularność. 

Rynki Kashi na Avalanche zostały zhakowane po odkryciu wektora ataku wprowadzonego przez prekompilację Native Asset Call na Avalanche. Zespół Sushi był w stanie zweryfikować raport, który został przesłany przez białego hakera w dniu @odporny, tworząc prosty PoC. 1/6

— Jestem Software 🦇🔊 (@MatthewLilley) 8 września 2022 r.

W następnych godzinach pojawił się efekt domina deweloperów, który ujawnił lukę i pracował nad natychmiastową poprawką.

1/🧙🏼‍♂️!

Zostaliśmy powiadomieni o możliwej luce w naszych kotłach lawinowych.

Żadne środki użytkowników nie zostały utracone, luka została naprawiona, a wszystkie zabezpieczenia zostały zabezpieczone.

📖 Przeczytaj więcej o naszej sekcji zwłok tutaj👇🏻https://t.co/2HSvPkugEs

— (@MIM_Spell) 8 września 2022 r.

Avalanche, Abracadabra i inni wychodzą z skromnym bohaterem

Dopiero dziś, gdy szef inżynierii Ava Labs Patrick O'Grady zabrał się do Twittera, aby wyrazić podziękowania dla Statemind, które później wystąpiło jako firma zajmująca się bezpieczeństwem blockchain, aby szeroko odkryć lukę. 

👀👀.@statemindio wystąpił jako anonimowy biały kapelusz, który powiadomił zaangażowane zespoły: https://t.co/MmG4hkkad7

Jeszcze raz dziękujemy za całą pracę nad powiadomieniem społeczności o problemie!

— Patrick „The Faucet” O'Grady 🔺 (@_patrickogrady) 8 września 2022 r.

Oficjalne konto Abracadabra na Twitterze wyraziło również głębokie podziękowania za zwrócenie uwagi na krytyczną lukę i uratowanie społeczności kryptograficznej na kolejną horror. 

!

Serdecznie dziękujemy firmie audytorskiej @statemindio za zgłoszenie luki wymienionej w naszym najnowszym ogłoszeniu.

Dzięki ich raportowi udało nam się zabezpieczyć wszystkie środki i współpracować z @avalancheavax. naprawić lukę!🔥

— (@MIM_Spell) 8 września 2022 r.

Luki zostały naprawione w rekordowym czasie. Zarówno Avalanche, jak i Abracadabra mają udostępnił sekcję zwłok na temat sytuacji. Inne dotknięte problemem blockchainy prawdopodobnie podążą za nimi i zapewnią przejrzystość całej społeczności. 

Kto stoi za bohaterami White Hat Heroics?

Kim dokładnie jest zespół stojący za odkryciem? Byliśmy w kontakcie z blogerem, który również współpracuje z firmą, aby dowiedzieć się więcej. 

Znam anonimowych hakerów, którzy ujawnili exploita @avalancheavax. @ME_Spell & @SushiZamień

oszczędność 3 mln USD w funduszach użytkowników i 300 mln $JA tokeny

jeśli jesteś dziennikarzem kryptograficznym i szukasz komentarzy/wyjątkowych informacji od zespołu, który znalazł exploita, daj mi znać 🙂 https://t.co/3B8axWjYqS

— notEezzy 🧸 (@notEezzy) 8 września 2022 r.

Firma Statemind zajmująca się audytem bezpieczeństwa Blockchain dokonała przeglądu kodu dziesięciu najlepszych protokołów blockchain w poszukiwaniu niestandardowych prekompilacji, które mogą być potencjalnie niebezpieczne. Jak wyjaśniła firma audytorska blockchain, wcześniejsze doświadczenia pokazały, że niestandardowe prekompilacje mogą być coraz bardziej niebezpieczne w odpowiednim środowisku. 

Według badań, Avalanche i inni mieli prekompilację „pozwalającą na przekierowanie dowolnych połączeń przez prekompilację przekazującą msg.sender”. W przypadku niektórych protokołów oznaczało to, że każdy mógł wykonywać połączenia w imieniu umowy protokołu. 

Statemind.io jest wiodącą firmą audytującą bezpieczeństwo blockchain z ponad 100,000 10 LoC doświadczenia Solidity i Vyper. To ogromne doświadczenie doprowadziło do zabezpieczenia TVL o wartości ponad 14 miliardów dolarów, a firma znalazła się na 2022 miejscu w Paradigm CTF XNUMX. Dzięki Statemind wszystkie „fundusze są SAFU”, a branża kryptowalut ma nowego bohatera.