Niebezpieczeństwo zażegnane Polkadot, flagowy projekt Fundacji Web3, której współzałożycielem jest m.in Gavin Wood, jeden z pierwszych współzałożycieli Ethereum i były CTO Fundacji Ethereum.
Najwyraźniej badacz Immunefi znany jako Pwning.eth niedawno pomógł trzem parałańcuchom Polkadot uniknąć potencjalnego ataku. Rzeczywiście, z czasem odkrył krytyczną lukę w zabezpieczeniach sieci, za którą osoby odpowiedzialne nie wahały się go wynagrodzić.
Polkadot i możliwy atak: oto, co się stało
Zgodnie z przewidywaniami, A $ 200 mln W przypadku prestiżowego łańcucha bloków Polkadot ledwo uniknięto strat. W rzeczywistości, dzięki czujności badacza bezpieczeństwa Pwning.eth, sieci oparte na Polkadot były w stanie uniknąć potencjalnego ataku.
Wiadomość została potwierdzona przez Blok w tweecie z 6 stycznia, który brzmiał:
Badacz Immunefi oszczędza 200 milionów dolarów przed potencjalną kradzieżą trzech parałańcuchów Polkadothttps://t.co/FUr567wVri
- The Block (@TheBlock__) 6 stycznia 2023 r.
W szczególności trzy parałańcuchy kompatybilne z Ethereum na Polkadot, które miały zostać skradzione, to: Moonbeam, Astar Network i Acala. Badacz wykrył i zgłosił w czerwcu krytyczną lukę w oprogramowaniu o nazwie Granica który jest używany do „pakowania” natywnych tokenów w trzech projektach blockchain (lub parachain) w sieci Polkadot.
Raport został przedstawiony 27 czerwca na skoncentrowanej na kryptowalutach platformie do wyszukiwania błędów Immunefi, ale został ujawniony dopiero niedawno. Przedstawiciel ds Odporny powiedział w tej sprawie:
„Pwning.eth znalazł błąd, który wpłynął na cały ekosystem Polkadot i pozwolił hakerom ukraść ponad 200 milionów dolarów w Moonbeam, Astar Network i Acala. Wszystkie były podatne na błąd, który mógł pozwolić atakującym na wybijanie hermetyzowanych tokenów natywnych”.
W tym przypadku zawijanie to proces przekształcania natywnych zasobów kryptograficznych łańcucha bloków w tokeny, które mogą być łatwiej obsługiwane przez aplikacje. Odbywa się to za pomocą inteligentnego kontraktu, który przechowuje natywne tokeny w depozycie i wydaje opakowane tokeny użytkownikowi.
Luka w zabezpieczeniach trzech łańcuchów mogła zostać wykorzystana do wybicia nieograniczonej liczby opakowanych tokenów, w tym Zapakowana Astar (WASTR) na Astar, Zawinięty promień księżyca (WGLMR) na Moonbeam i Zawinięta Moonriver (WMOVR) na Moonriver, siostrzanej sieci Moonbeam.
Nagroda dla badacza Pwning.eth: 1 milion dolarów
Oszacowano, że wartość zasobów narażonych na podatność dla Polkadot wynosiła ok $ 200 mln przez trzy parałańcuchy, powiedział Immunefi. Po zgłoszeniu luki trzy zespoły parachain pracowały nad jej naprawieniem i wydały poprawkę awaryjną, zanim jakiekolwiek złośliwe strony mogły ją wykorzystać. Żadne środki nie zostały utracone.
Moonbeam i Astar, które mają aktywne programy bug-bounty z Immunefi, zostały nagrodzone $ 1 mln do etycznego hakera za pośrednictwem Immunefi. Parity, twórca Frontier Library, postanowił wnieść swój wkład $250,000 do nagrody w wysokości 1 miliona dolarów, pomimo braku nagrody za błąd w Immunefi.
Pwning.eth nie jest obcy znajdowaniu krytycznych błędów i otrzymywaniu dużych sum. W rzeczywistości na początku 2022 roku haker został nagrodzony 6 milionami dolarów nagrody za odkrycie luki w jutrzenka, blockchain kompatybilny z EVM dla protokołu NEAR, oszczędzając ok 70,000 ETH wart 200 milionów dolarów w tym czasie.
Gdyby luka w zabezpieczeniach trzech parałańcuchów Polkadota nie została odkryta na czas, pojawiłby się poważny problem. W rzeczywistości hakerzy byliby w stanie użyć go do wybicia nieograniczonej liczby zapakowanych tokenów. W każdym razie, gdy Pwning.eth zgłosił błąd, trzy zespoły parachain naprawiły go, a następnie wydały łatkę awaryjną, zapobiegającą utracie funduszy.
Czy Polkadot będzie blockchainem napędzającym Web3?
Polkadot to między innymi Web3 projekt mający na celu rozwój infrastruktury IT dla zdecentralizowanej sieci, w centrum której, obok innych projektów, znajdzie się blockchain.
Ostatnio, Bill Noble, doświadczony analityk techniczny z Wall Street, mówił o nieuniknionej „kryptograficznej wiośnie”. Oznacza to bardzo bliskie ożywienie rynku kryptograficznego, z Web3 jako kolejnym Internetem, na czele z Polkadot i Ethereum.
Noble wydaje się być optymistą co do Ethereum jako kręgosłupa Web3. W rzeczywistości argumentował, że bessy to najlepszy czas na naukę i naukę, ponieważ to właśnie w tych fazach rynek decyduje, kto wygra, a kto przegra. Według niego, Web3 będzie następnym Internetem, na czele z Ethereum i Polkadotem.
Źródło: https://en.cryptonomist.ch/2023/01/09/major-loss-avoided-for-polkadot/