Wormhole ได้ประกาศการจ่ายเงินรางวัลการล่า Bug 10 ล้านดอลลาร์

Wormhole ให้รางวัลแก่แฮกเกอร์ขาวเป็นจำนวน 10 ล้านดอลลาร์เพื่อระบุและรายงานจุดบกพร่องใน cross-chain bridge

หลังจากการแฮ็กมูลค่า 323 ล้านดอลลาร์ crypto chain ได้จัดตั้งโปรแกรมล่าค่าหัว Bug ในเดือนกุมภาพันธ์

แฮ็กเกอร์ซึ่งมีนามแฝงคือ satya0x ให้ความเห็นว่าปัญหาด้านความปลอดภัยของ blockchain เป็น “ภัยคุกคามที่มีอยู่จริง” ต่ออนาคตของเทคโนโลยี

โปรแกรมรางวัลล่าค่าหัว ของ Wormhole ขึ้นอยู่กับระดับความเสี่ยงที่แฮ็กเกอร์ค้นพบ

ผลงานที่โดดเด่นจะได้รับรางวัล

ตามรายงานของ Immunefi ทาง Wormhole ได้จ่ายเงิน 10 ล้านดอลลาร์ให้กับแฮ็กเกอร์ที่เปิดเผยจุดอ่อนด้านความปลอดภัยในสัญญา Ethereum core bridge ในเดือนกุมภาพันธ์ รางวัลนี้มอบให้กับแฮ็กเกอร์ขาวที่มีนามแฝง satya0x ซึ่งค้นพบและรายงานข้อบกพร่องที่เขาอธิบายว่าเป็น “การปรับใช้พร็อกซีที่อัพเกรดได้ บั๊กทำลายตัวเอง”

Wormhole เปิดเผยความคิดริเริ่มในเดือนกุมภาพันธ์ เพียงไม่กี่วันหลังจากสูญเสีย ETH ไปมากกว่า 323 ล้านดอลลาร์ให้กับแฮ็กเกอร์ในการโจมตีด้วยโปรโตคอล DeFi ที่สำคัญที่สุดครั้งหนึ่ง มันแก้ไขสะพาน blockchain อย่างรวดเร็วและเสนอผู้โจมตี 10 ล้านดอลลาร์เพื่อแลกกับเงินทุน

แนวทางของ Wormhole ในการรักษาความปลอดภัยของ bridge โดยการให้รางวัลแก่แฮกเกอร์ขาวและผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ที่ตรวจพบช่องโหว่ในระบบปฏิบัติการของเครือข่ายจะสนับสนุนสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้นสำหรับโปรโตคอลและ blockchain bridge เนื่องจาก bridge หลายแห่งตกเป็นเหยื่อของการหลอกลวงในปีนี้

Wormhole และ Immunefi

Wormhole เป็นระบบส่งข้อความที่เชื่อมโยง blockchain ที่มีมูลค่าสูง แอพใช้ layer การส่งข้อความหลักเพื่อให้ระบบนิเวศสามารถสื่อสารกันได้ นักพัฒนาสามารถแชร์ข้อมูลข้าม chain ได้ตามอำเภอใจ ซึ่งรวมถึง token, NFT, ข้อมูลออราเคิล, การตัดสินใจในการกำกับดูแล และอื่นๆ ต้องขอบคุณผู้ปกครอง 19 คนของโปรโตคอล Wormhole เชื่อมต่อกับ Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon และ Avalanche

ในทางกลับกัน Immunefi เป็นโปรแกรมหาบั๊กที่โดดเด่นที่สุดสำหรับ smart contract และโครงการ DeFi เป็นที่ที่นักวิจัยด้านความปลอดภัยตรวจสอบโค้ด เปิดเผยข้อบกพร่อง และทำให้การเข้ารหัสปลอดภัยสำหรับทุกคน การดำเนินงานของ Immunefi ช่วยให้นักวิจัยด้านความปลอดภัยสามารถค้นหาและเปิดเผย smart contract และช่องโหว่ของแอปพลิเคชันที่อาจเกิดขึ้น และรับรางวัลสำหรับสิ่งนั้น และในกระบวนการนี้ จะปกป้องโครงการที่อ่อนไหวจากการโจมตี

ที่มา: Immunuefi

สาเหตุของการเกิด Bug

ตามบล็อกโพสต์ที่เผยแพร่โดย Immunefi ช่องโหว่ Wormhole ปรากฏขึ้นหลังจากรวมพร็อกซี Common Upgradeable Proxy Normal (UUPS) "ไม่ได้เริ่มต้นหลังจากการแก้ไขข้อบกพร่องก่อนหน้านี้ได้คืนค่าการเริ่มต้นที่ไม่ซ้ำกัน ซึ่งหมายความว่าผู้โจมตีสามารถย้ายชุด Guardian ของตัวเองและ ดำเนินการอัปเกรดในฐานะ Guardian ที่พวกเขาจัดการ”

นอกจากนี้ ตาม proof of concept (PoC) ที่เผยแพร่ไปยัง GitHub โดย Immunefi ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ “อาจทำให้ทั้งระบบเรียกค่าไถ่ด้วยการคุกคามที่ Ethereum Wormhole bridge อาจถูกปิดกั้น และทรัพย์สินทั้งหมดที่มีอยู่ในสัญญาหายไป”

PoC ยังระบุด้วยว่า “ในขณะที่ยื่นข้อเสนอ มีทรัพย์สิน 736 ล้านดอลลาร์อยู่ในสัญญา”

ตาม Immunefi ไม่มีทรัพย์สินของผู้ใช้สูญหายก่อนที่จะพบช่องโหว่ เนื่องจาก Wormhole สามารถตอบสนองได้อย่างรวดเร็ว ตรวจสอบและแก้ไขปัญหาในวันเดียวกัน (24 กุมภาพันธ์) ที่ satya0x รายงาน

แฮ็กเกอร์ขาวและโปรแกรมการให้รางวัล

ที่มา: Twitter

โปรแกรมการให้รางวัลจุดบกพร่องของ Wormhole เพิ่มการป้องกันอีกชั้นสำหรับผู้ใช้ และแสดงให้เห็นถึงความมุ่งมั่นในระยะยาวในการทำให้โปรโตคอล Wormhole และระบบนิเวศ DeFi มีความปลอดภัยมากขึ้น

โปรแกรมมุ่งเน้นไปที่การป้องกันการหาประโยชน์ที่ทำให้เงินทุนของผู้ใช้ถูกล็อค สูญหาย หรือถูกขโมย การปลอมแปลงข้อมูลที่ไม่ผ่านการตรวจสอบ การจัดการการกำกับดูแล การเปิดเผยคีย์ส่วนตัว การเรียกใช้โค้ดจากระยะไกล ฯลฯ

รางวัลของโปรแกรมหาค่าหัว bug Wormhole นั้นขึ้นอยู่กับระบบการจำแนกความรุนแรงของช่องโหว่ของระบบคุ้มกัน ดังนั้นรางวัลจะถูกแจกจ่ายตามผลกระทบของช่องโหว่ การตรวจจับข้อบกพร่องของ smart contract ระดับ “ต่ำ” เช่น แฮ็กเกอร์หรือผู้เชี่ยวชาญด้านความปลอดภัยสามารถสร้างรายได้ให้คุณสูงถึง $2,500 ในขณะที่ข้อผิดพลาดที่ "สำคัญ" สามารถสร้างรายได้ให้คุณสูงถึง 10 ล้านดอลลาร์ เช่นเดียวกับ satya0x

Satya0x ระบุในแถลงการณ์ที่โพสต์โดยแพลตฟอร์ม crypto ว่าปัญหาด้านความปลอดภัย blockchain เป็น “ภัยคุกคามที่มีอยู่จริง” ต่ออนาคตของเครือข่าย

“เราภูมิใจที่มีบทบาทในการบรรเทาช่องโหว่ที่ร้ายแรงและภัยคุกคามที่เป็นระบบต่อระบบนิเวศ” satya0x กล่าว

เขาให้ความเห็นเพิ่มเติมในแถลงการณ์ ตามบล็อค เราเสี่ยงทำให้โครงสร้างอำนาจที่เราพยายามจะทำลายกลับมารวมกันอีกครั้ง หากเราไม่รับรู้และลดความเสี่ยงเชิงระบบอย่างจริงจัง หากเราไม่สามารถให้ความโปร่งใสและเครื่องมือที่จำเป็นสำหรับผู้ใช้ในการตัดสินใจอย่างมีข้อมูล หากเราประณามความผิดพลาดง่ายๆ ต่อไปในขณะที่ยกย่อง Total Value Lost เป็นตัวชี้วัดความสำเร็จเพียงอย่างเดียว

บทสรุป

Wormhole เชื่อว่าโปรแกรม Bug Bounty และความคิดริเริ่มที่คล้ายคลึงกันอื่น ๆ จะทำให้ระบบนิเวศ Blockchain ปลอดภัยจากการแฮ็กและการละเมิดความปลอดภัย นอกจากนี้ยังเป็นวิธีการส่งเสริมให้แฮคเกอร์ขาวเผยช่องโหว่ด้านความปลอดภัยและมีความสามารถมากขึ้น พวกเขาจะได้รับรางวัลหากทำงานตามที่กำหนดไว้สำเร็จ

ผู้เขียน: Gate.io ผู้สังเกตการณ์: M. Olatunji

-บทความนี้แสดงความเห็นของผู้วิจัยเท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ

-Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความซ้ำโดยอ้างอิงถึง Gate.io ทั้งนี้ Gate.io จะดำเนินการทางกฎหมายสำหรับการละเมิดลิขสิทธิ์ทุกกรณี