Wormhole объявил о вознаграждении в размере $10 млн за обнаружение багов

Wormhole предлагает белым хакерам $10 млн за выявление багов в его кроссчейн-мосте.

После взлома на $323 млн в феврале криптомост учредил программу вознаграждения за обнаружение багов.

Хакер под псевдонимом satya0x отметил, что проблемы с безопасностью блокчейна представляют собой “экзистенциальную угрозу” для будущего технологии.

Система поощрения Wormhole работает в соответствии с серьёзностью обнаруженной проблемы.

Вознаграждение за хорошее дело

Wormhole выплатил $10 млн хакеру, который в феврале обнаружил уязвимость в базовом бридж-контракте Ethereum. Об этом сообщил партнер протокола Immunefi. Награду получил белый хакер под псевдонимом satya0x, который обнаружил и сообщил об уязвимости, которую он назвал “багом самоуничтожения реализации обновляемого прокси”.

Wormhole объявил об этой инициативе в феврале, всего через несколько дней после того, у протокола было украдено более $323 млн в ETH в результате одной из самых масштабных атак на протокол DeFi. Wormhole быстро исправил ошибку в блокчейн-мосте и предложил злоумышленнику $10 млн в обмен на украденные средства.

Подход Wormhole к обеспечению безопасности своего моста путем награждения белых хакеров и экспертов по кибербезопасности, которые могут обнаружить лазейки в операционных системах его сети, будет способствовать созданию более безопасной среды для протоколов и блокчейн-мостов, поскольку в этом году уже несколько мостов пострадали от атак хакеров.

Wormhole и Immunefi

Wormhole — это система обмена сообщениями, которая связывает блокчейны. Приложения этого моста используют основной уровень обмена сообщениями, чтобы экосистемы могли общаться друг с другом. Разработчики могут обмениваться между собой произвольными данными, включая токены, NFT, данные оракула, решения по управлению и многое другое, благодаря 19 опекунам протокола. Wormhole подключен к Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon и Avalanche.

Immunefi является наиболее известной баунти-платформой для обнаружения багов в смарт-контрактах и проектах DeFi. Именно здесь исследователи безопасности изучают код, выявляют недостатки и делают шифрование более безопасным для всех. На Immunefi исследователи безопасности находят и выявляют потенциальные уязвимости смарт-контрактов и приложений и получают за это вознаграждение, а также защищают уязвимые проекты от атак.

Источник: Immunefi

Причина бага

Согласно посту в блоге Immunefi, уязвимость Wormhole обнаружилась после того, как инкорпорация прокси-сервера Common Upgradeable Proxy Normal (UUPS) “была неинициализирована после того, как предыдущее исправление вернуло уникальную инициализацию, то есть, злоумышленники могли переместить свой собственный набор Стража (Guardian) и продолжить обновление в качестве Стража, которым они управляли”.

Кроме того, на основании доказательства концепции (PoC), опубликованного Immunefi на GitHub, злоумышленники “могли бы потребовать выкуп за всю систему, угрожая, что Ethereum-мост Wormhole будет заблокирован, и все активы в этом контракте будут утеряны на неопределенный срок”.

В PoC также указывалось, что “на момент подачи заявки активы на сумму $736 млн находились в контракте”.

Согласно Immunefi, пользовательские активы не были потеряны до того, как уязвимость была обнаружена, поскольку Wormhole смог быстро отреагировать, проверив и устранив проблему в тот же день (24 февраля), когда о ней сообщил satya0x.

Белый хакер и программа вознаграждений

Источник: Twitter

Баунти-программа Wormhole для обнаружения багов предоставляет пользователям дополнительный уровень защиты и демонстрирует долгосрочное стремление сделать протокол Wormhole и экосистему DeFi более безопасными.

Программа направлена на предотвращение эксплойтов, которые приводят к блокировке, потере или краже пользовательских средств, подделке непроверенных данных, манипулированию управлением, раскрытию закрытых ключей, удалённому выполнению кода и т. д.

Вознаграждения в баунти-программе Wormhole для обнаружения багов основаны на системе классификации серьезности уязвимостей Immunefi. Следовательно, вознаграждения распределяются в соответствии с серьёзностью обнаруженной проблемы. При обнаружение уязвимости смарт-контракта “низкого” уровня угрозы, например, хакер или специалист по безопасности может получить до $2500, а баг “критического” уровня может принести до $10 млн, что и произошло в случае с satya0x.

В заявлении, опубликованном криптоплатформой, satya0x сказал, что проблемы безопасности блокчейна представляют собой “экзистенциальную угрозу” для будущего сети.

“Я горжусь тем, что внёс свой вклад в уменьшение опасности и системной угрозы для экосистемы”, — сказал satya0x.

Также он дал комментарий для новостного портала The Block, в котором сказал, что мы рискуем допустить возрождение тех самых властных структур, которые мы стремимся разрушить, если мы не сможем распознать и эффективно снизить системный риск, и если мы не сможем обеспечить прозрачность и инструменты, необходимые пользователям для принятия обоснованных решений, и если мы продолжим осуждать простые ошибки, при этом восхваляя общую потерянную стоимость как единственную меру успеха.

Заключение

Wormhole считает, что эта баунти-программа для обнаружения багов и другие подобные инициативы защитят экосистему блокчейн от взломов и нарушений безопасности. Эта платформа также даст стимул белым хакерам выявлять уязвимости в системе безопасности и более продуктивно выполнять задачи, поскольку за это установлено вознаграждение.

Автор: исследователь Gate.io Olatunji M.

*Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию.

*Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.