Wormhole Sistemlerinde Bulunan Bir Hata İçin 10 Milyon Dolarlık Ödül Ödemesi Yaptığını Açıkladı

323 milyon dolarlık bir hacklemenin ardından, kripto köprüsü Şubat ayında bir hata ödül programı başlattı.

Takma adı satya0x olan hacker, blockchain güvenlik sorunlarının teknolojinin geleceği için "varoluşsal bir tehdit" oluşturduğu yorumunu yaptı.

“Wormhole's Bounty” ödül programı, bilgisayar korsanı tarafından keşfedilen risk düzeyine dayanmaktadır.

Dikkat Çeken “Eylem” Ödüllendirildi

Hata ödül ortağı Immunefi'ye göre, Wormhole, Şubat ayında Ethereum çekirdek köprü sözleşmesinde bir güvenlik zayıflığı ortaya çıkaran bir bilgisayar korsanına 10 milyon dolar ödedi. Ödül, satya0x takma adlı” beyaz” bir bilgisayar korsanına verildi ve "yükseltilebilir bir proxy uygulaması kendi kendini yok etme hatası" olarak tanımladığı kusuru keşfedip rapor etti.

Wormhole girişimi, en önemli DeFi protokol saldırılarından birinde bir bilgisayar korsanına 323 milyon dolardan fazla ETH kaybettiğini sadece birkaç gün sonra Şubat ayında açıkladı. Hızlı bir şekilde blok zinciri köprüsünü değiştirdi ve saldırgana fon karşılığında 10 milyon dolar teklif etti.

Wormhole'un, zincirinin işletim sistemlerinde boşlukları tespit edebilen beyaz bilgisayar korsanlarını ve siber güvenlik uzmanlarını ödüllendirerek köprüsünün güvenliğine yönelik yaklaşımı, bu yıl birkaç köprü dolandırıcılığa kurban gittiği için Blockchain protokolleri ve köprüleri için daha güvenli bir ortama sponsor olacak.


Wormhole ve Immunefi

Wormhole, yüksek değerli blok zincirlerini birbirine bağlayan bir mesajlaşma sistemidir. Uygulamaları, ekosistemlerin birbirleriyle iletişim kurmasını sağlamak için ana mesajlaşma katmanını kullanır. Geliştiriciler, protokolün 19 koruyucusu sayesinde tokenler, NFT'ler, oracle verileri, yönetim kararları ve daha fazlası dahil olmak üzere verilerini çapraz zincir üzerinden paylaşabilir. Wormhole Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon ve Avalanche ile bağlantılıdır.

Immunefi ise akıllı sözleşmeler ve DeFi projeleri için en çok öne çıkan hata ödül programıdır. Güvenlik araştırmacılarının kodu incelediği, kusurları ortaya çıkardığı ve şifrelemeyi herkes için daha güvenli hale getirdiği yerdir. Immunefi operasyonları, güvenlik araştırmacılarının potansiyel akıllı sözleşme ve uygulama güvenlik açıklarını bulup ortaya çıkarmasına ve bunun için ödüllendirilmesine ve bu süreçte hassas projeleri saldırılara karşı korumasına olanak tanır.

Kaynak: Immunuefi

Hatanın Arkasındaki Neden

Immunefi tarafından yayınlanan bir blog gönderisine göre, Wormhole güvenlik açığı, Ortak Yükseltilebilir Proxy Normal (UUPS) proxy'si için dahil edildikten sonra ortaya çıktı " önceki bir hata düzeltmesi benzersiz başlatmayı döndürdükten sonra başlatılmadı, bu da bir saldırganın kendi Guardian setini hareket ettirebileceği ve bir Guardian olarak yükseltmeye devam edebileceği anlamına geliyordu.”

Ayrıca, Immunefi tarafından GitHub'a yayınlanan bir proof of concept’e (PoC) dayanarak, güvenlik açığından yararlanan bir saldırgan "Ethereum Wormhole köprüsünün tuğla olabileceği tehdidiyle tüm sistemi fidye için tutabilirdi. bu sözleşme süresiz olarak yanlış yerleştirilmiş. ”

PoC ayrıca, "gönderim sırasında, 736 milyon dolarlık varlıkların sözleşmede yerleşik olduğunu" belirtti.

Immunefi'ye göre, Wormhole hızlı bir şekilde yanıt verebildiğinden, sorunu satya0x'in bildirdiği aynı gün (24 Şubat) doğrulayıp çözebildiğinden, güvenlik açığı bulunmadan önce hiçbir kullanıcı varlığı kaybedilmedi.

Beyaz Hackerlar ve Ödül Programı

Kaynak: Twitter

Wormhole'un ödüllü hata ödül programı, kullanıcılar için ekstra bir koruma katmanı eklemekte ve Wormhole protokolünü ve DeFi ekosistemini daha güvenli hale getirme konusundaki uzun vadeli kararlılığını göstermekte.

Program, kullanıcı fonlarının kilitlenmesine, kaybolmasına veya çalınmasına, doğrulanmamış verilerde sahtecilik yapılmasına, yönetişim manipülasyonuna, özel anahtarların açığa çıkarılmasına, uzaktan kod yürütülmesine vb. neden olan istismarları önlemeye odaklanmaktadır.

Wormhole bug ödül programının ödülleri, Bağışıklık Açığı Önem Derecesi Sınıflandırma Sistemine dayanmaktadır. Bu nedenle ödüller, güvenlik açığının etkisine göre dağıtılır. Örneğin, beyaz şapkalı bir bilgisayar korsanı veya güvenlik uzmanı olarak "düşük" seviyeli bir akıllı sözleşme kusuru bulursanız bu size 2500$'a kadar kazanç sağlayabilirken, "kritik" bir kusur size tıpkı satya0x gibi 10 milyon$'a kadar kazandırabilir.

Satya0x, kripto platformu tarafından yayınlanan bir açıklamada, blok zinciri güvenlik sorunlarının ağın geleceği için “varoluşsal bir tehdit” oluşturduğunu belirtti.

Satya0x, "Ekosisteme yönelik ciddi bir güvenlik açığının ve sistemik bir tehdidin azaltılmasında rol oynadığım için gurur duyuyorum" dedi.

Ayrıca, Blok'a yaptığı bir açıklamada, sistemik riski tanımazsak ve agresif bir şekilde bu riski azaltmazsak, yok etmeye çalıştığımız güç yapılarının yeniden ortaya çıkmasını sağlama riskini alırız; kullanıcıların bilinçli kararlar vermeleri için gereken şeffaflığı ve araçları sağlayamazsak başarısız olabiliriz.

Sonuç

Wormhole, bu hata ödül programının ve diğer benzer girişimlerin Blockchain ekosistemini saldırılardan ve güvenlik ihlallerinden koruyacağına inanıyor. Ayrıca, beyaz şapkalı hackerları güvenlik açıklarını ortaya çıkarmaya ve görevde daha yetkin hale gelmeleri için teşvik etmenin bir yolunu sunuyor.