Badacz bezpieczeństwa odkrył lukę w oprogramowaniu, która mogła zostać wykorzystana do kradzieży nawet 200 milionów dolarów z trzech parałańcuchów kompatybilnych z Ethereum na Polkadot — Moonbeam, Astar Network i Acala.
Badacz, znany jako pwning.eth, znalazł i zgłosił krytyczną lukę w czerwcu, kiedy program został przesłany, w oprogramowaniu o nazwie Frontier, które jest używane do „owijania” natywnych tokenów w trzech projektach blockchain (lub parachainach) na Polkadot sieć. Raport został przesłany na skoncentrowanej na kryptografii platformie do wyszukiwania błędów Immunefi 27 czerwca, ale ujawniono go dopiero niedawno.
„Pwning.eth znalazł błąd, który wpłynął na cały ekosystem Polkadot i pozwolił hakerom ukraść ponad 200 milionów dolarów w Moonbeam, Astar Network i Acala” – powiedział The Block przedstawiciel Immunefi. „Wszystkie były podatne na błąd, który mógł pozwolić złośliwym użytkownikom na wybijanie opakowanych natywnych tokenów”.
W tym przypadku zawijanie to proces przekształcania natywnych zasobów kryptograficznych łańcuchów bloków w tokeny, które mogą być łatwiej obsługiwane przez aplikacje. Odbywa się to za pomocą smart kontraktu, który przechowuje natywne tokeny w depozycie i wydaje opakowane tokeny użytkownikowi.
Luka w trzech łańcuchach mogła zostać wykorzystana do wybicia nieograniczonej liczby opakowanych tokenów, w tym owiniętego astar (WASTR) na Astar, owiniętego księżyca (WGLMR) na Moonbeam i owiniętej księżycowej rzeki (WMOVR) na Moonriver, siostrzanej sieci Moonbeam.
Szacunkowa wartość aktywów narażonych na lukę wyniosła około 200 milionów dolarów w trzech parałańcuchach, powiedział Immunefi. Po zgłoszeniu luki trzy zespoły parachain pracowały nad jej naprawieniem i wydały awaryjną łatkę, zanim złośliwi aktorzy mogli ją wykorzystać. Żadne środki nie zostały utracone.
Moonbeam i Astar, które mają aktywne programy nagród za błędy z Immunefi, przyznały etycznemu hakerowi 1 milion dolarów za pośrednictwem Immunefi. Parity, twórca Frontier Library, postanowił przekazać 250,000 1 USD na nagrodę w wysokości XNUMX miliona USD, mimo że nie otrzymał nagrody za błąd w Immunefi.
Pwning.eth nie jest obcy znajdowaniu krytycznych błędów i otrzymywaniu dużych sum. Na początku 2022 roku haker w białym kapeluszu został nagrodzony m.in Nagroda w wysokości 6 milionów dolarów po odkryciu luki w zabezpieczeniach Aurory, blockchainu kompatybilnego z EVM dla protokołu NEAR, oszczędzając około 70,000 210 ETH o wartości XNUMX milionów dolarów w tamtym czasie.
© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss