Web3セキュリティ研究者が、重大なバグを特定し、Evmosブロックチェーンおよびそのすべての分散型アプリケーションを停止させる可能性があるとして、Cosmos Networkから$150,000を受け取りました。

10月29日、SpearbitのWeb3セキュリティ研究者であるjayjonah.ethというユーザー名のXが、Evmos（EVMOS）ブロックチェーンで見つけた致命的なバグについて書いたブログ投稿を行いました。

彼の努力が報われ、Cosmos Networkから15万ドルの報酬が支払われました。彼はEvmos Bug報酬プログラムに参加し、Immunefiという報酬プラットフォームでバグを発見しました。このプラットフォームは2022年11月から活動しています。

暗号通貨のバグ報酬は、開発者や研究者が.内のバグや脆弱性を特定するのを助けるために報酬を提供します。

彼のブログ投稿で、研究者は、Cosmosのドキュメンテーションをレビューしている間に「モジュールアカウント」という概念に出会ったことを説明し、このレビューを潜在的な問題を特定する「最初のステップ」として、ドキュメンテーションがブロックチェーンを理解するための「基盤」を提供していると述べています。

彼は次のように書かれた文書内のセクションを見つけました:

「通常、これらのアドレスはモジュールアカウントです。これらのアドレスがステートマシンの予想されるルール外で資金を受け取った場合、不変量が破られる可能性があり、ネットワークが停止する可能性があります。」とEVMOSが書いています。

jayjonah.ethによれば、この節は、ユーザーがモジュールアカウントに資金を送金すると、ブロックチェーンが壊れる可能性があることを示しています。彼はその後、モジュールアカウントに資金を送金してこれをテストしました。

「この時点では、ブロックはもう作成されておらず、チェーンは完全に停止しています。これにより、EVMOSブロックチェーンとそれに構築されたすべてのDAppsが破損します」と彼は書きました。

彼はEvmosチームに彼の発見を報告し、重要なレベルのバグに対して授与された最高額の報奨金である$150,000を受け取りました。研究者は、そのバグが「取りやすい果実」であることを強調しました--簡単ですが見落としやすいものです。

「このバグは、セキュリティ研究者としていくつかの重要なことを教えてくれました。最初であり、最も明白なことは、調査対象のプロジェクトのドキュメンテーションを常に十分に読むことです。」

-jayjonah.eth です。

他のプロジェクトでも、隠れた脅威を検出するのを手伝うために bug 報酬 を立ち上げることが知られています。昨年8月、分散型注意レイヤープロジェクトであるLayer3は、HackenProofと提携して bug 報酬 プログラムを開始しました。bug 報酬 では最大$500,000の報酬が提供されます。

7月、Immunefiはイーサリアム財団と協力して、「Attackathon」という監査コンテストを立ち上げました。このコンテストは、イーサリアムネットワークのセキュリティを向上させるために設計されています。