Wormhole a annoncé le versement de 10 millions de dollars en primes de bogues.

Wormhole récompense de 10 millions de dollars les pirates blancs qui identifient et signalent un bogue dans son pont inter-chaînes.

Après un piratage de 323 millions de dollars, le pont cryptographique a mis en place un programme de primes aux bugs en février.

Le hacker, dont le pseudonyme est satya0x, a commenté que les problèmes de sécurité de la blockchain représentent une "menace existentielle" pour l'avenir de la technologie.

Le programme de récompense Bounty de Wormhole est basé sur le niveau de risque découvert par le hacker.


Un acte remarquable récompensé

---

Wormhole a versé 10 millions de dollars à un pirate informatique qui a révélé une faiblesse de sécurité dans son contrat de pontage Ethereum core en février, selon son partenaire de bug bounty Immunefi. La récompense a été attribuée à un hacker white-hat portant le pseudonyme de satya0x, qui a découvert et signalé la faille qu'il a décrite comme un "bug d'autodestruction de la mise en œuvre du proxy évolutif."

Wormhole a révélé l'initiative en février, quelques jours seulement après avoir perdu plus de 323 millions de dollars en ETH au profit d'un hacker dans l'une des plus importantes attaques du protocole DeFi. Elle a rapidement modifié son pont de blockchain et a offert à l'attaquant 10 millions de dollars en échange des fonds.

L'approche de Wormhole à l'égard de la sécurité de son pont en récompensant les hackers blancs et les experts en cybersécurité qui peuvent repérer les failles dans les systèmes d'exploitation de sa chaîne parrainera un environnement plus sûr pour les protocoles et les ponts blockchain, car plusieurs ponts ont été la proie d'escroqueries cette année.


Wormhole et Immunefi

---

Wormhole est un système de messagerie qui relie des blockchains de grande valeur. Ses applications utilisent la couche de messagerie principale pour permettre aux écosystèmes de communiquer entre eux. Les développeurs peuvent partager des données arbitraires à travers la chaîne, y compris des jetons, des NFT, des données d'oracle, des décisions de gouvernance et plus encore, grâce aux 19 gardiens du protocole. Wormhole est connecté à Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon et Avalanche.

Immunefi, quant à lui, est le programme de primes aux bugs le plus important pour les contrats intelligents et les projets DeFi. C'est là que les chercheurs en sécurité examinent le code, révèlent les failles et rendent le cryptage plus sûr pour tous. Les opérations d'Immunefi permettent aux chercheurs en sécurité de trouver et d'exposer les vulnérabilités potentielles des contrats intelligents et des applications, d'être récompensés pour cela et, ce faisant, de protéger les projets sensibles contre les attaques.



La cause du bug

---

Selon un billet de blog publié par Immunefi, la vulnérabilité Wormhole est apparue après l'incorporation d'un proxy normalisé commun upgradable (UUPS) "n'a pas été initialisé après qu'une correction de bogue précédente ait retourné l'initialisation unique, ce qui signifie qu'un attaquant pouvait déplacer son propre ensemble de gardiens et procéder à la mise à niveau comme un gardien qu'il gérait".

En outre, sur la base d'une preuve de concept (PoC) publiée sur GitHub par Immunefi, un attaquant exploitant la vulnérabilité "aurait pu demander une rançon à l'ensemble du système en menaçant de bloquer le pont Ethereum Wormhole et d'égarer indéfiniment tous les actifs existant dans ce contrat".

Le PoC indique également que "au moment de la soumission, 736 millions de dollars d'actifs résidaient dans le contrat."

Selon Immunefi, aucun actif d'utilisateur n'a été perdu avant la découverte de la vulnérabilité, car Wormhole a pu réagir rapidement, vérifiant et résolvant le problème le jour même (24 février) où satya0x l'a signalé.


Le White Hat Hacker et le programme de récompenses

---

Le programme de récompense par bug bounty de Wormhole ajoute une couche supplémentaire de protection pour les utilisateurs et démontre son engagement à long terme à rendre le protocole Wormhole et l'écosystème DeFi plus sûrs.

Le programme se concentre sur la prévention des exploits qui entraînent le blocage, la perte ou le vol des fonds des utilisateurs, la falsification de données non vérifiées, la manipulation de la gouvernance, l'exposition des clés privées, l'exécution de code à distance, etc.

Les récompenses du programme wormhole bug bounty sont basées sur le système de classification de la gravité des vulnérabilités d'Immunefi. Les prix sont donc distribués en fonction de l'effet de la vulnérabilité. Détecter une faille de niveau "faible" dans un contrat intelligent, en tant que pirate informatique ou spécialiste de la sécurité, par exemple, peut vous rapporter jusqu'à 2 500 dollars, tandis qu'une faille "critique" peut vous rapporter jusqu'à 10 millions de dollars - tout comme satya0x.

Satya0x a déclaré dans un communiqué publié par la plateforme cryptographique que les problèmes de sécurité de la blockchain constituent une "menace existentielle" pour l'avenir du réseau.

"Je suis fier d'avoir joué un rôle dans l'atténuation d'une vulnérabilité grave et d'une menace systémique pour l'écosystème", a déclaré satya0x.

Il a en outre commenté dans une déclaration selon la Blockchain que Nous risquons de permettre la réémergence des structures de pouvoir mêmes que nous cherchons à détruire si nous ne reconnaissons pas et ne réduisons pas agressivement le risque systémique ; si nous ne fournissons pas la transparence et l'outillage nécessaires aux utilisateurs pour prendre des décisions éclairées ; si nous continuons à condamner les simples erreurs tout en louant la valeur totale perdue comme seule mesure du succès.


Conclusion

---

Wormhole pense que ce programme de primes aux bugs et d'autres initiatives similaires permettraient de préserver l'écosystème Blockchain des piratages et des failles de sécurité. C'est aussi un moyen d'encourager les chapeaux blancs à révéler les failles de sécurité et à devenir plus compétents dans cette tâche puisqu'il est établi qu'ils seraient récompensés.



Auteur : Observateur Gate.io: M. Olatunji
* Cet article ne représente que les opinions des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.