Không có thông báo mới
Thêm
Màu sắc tăng giảm
Thời gian bắt đầu tăng giảm
Wormhole đã công bố khoản thanh toán tiền thưởng lỗi trị giá 10 triệu đô la
2022-06-01, 06:22
<img onerror = "this.className =` errimg` " src = "https://gimg2.gateimg.com/blog/1656669831564376919 src = "0millionbugbountypayout_web.jpg" width = "1024" height = "512" alt = "">
Wormhole thưởng cho các hacker da trắng 10 triệu đô la để xác định và báo cáo một lỗi trong cây cầu xuyên chuỗi của nó.
Sau vụ hack 323 triệu đô la, cầu tiền điện tử đã thiết lập một chương trình tiền thưởng lỗi vào tháng Hai.
Tin tặc, có bút danh là satya0x, nhận xét rằng các vấn đề bảo mật blockchain đại diện cho một "mối đe dọa hiện hữu" đối với tương lai của công nghệ.
Chương trình thưởng Bounty của Wormhole dựa trên mức độ rủi ro mà hacker phát hiện ra.
Một hành động đáng chú ý được khen thưởng
Wormhole đã trả 10 triệu đô la cho một hacker đã tiết lộ điểm yếu bảo mật trong hợp đồng cầu lõi Ethereum của mình vào tháng 2, Theo đối tác tiền thưởng lỗi của nó là Immunefi. Phần thưởng đã được trao cho một hacker mũ trắng với bút danh satya0x, người đã phát hiện và báo cáo lỗ hổng mà anh ta mô tả là “lỗi tự hủy triển khai proxy có thể nâng cấp”.
Wormhole đã tiết lộ sáng kiến này vào tháng 2, chỉ vài ngày sau khi mất hơn 323 triệu đô la ETH vào tay một hacker trong một trong những cuộc tấn công giao thức DeFi quan trọng nhất. Nó nhanh chóng sửa đổi cầu nối blockchain của mình và đề nghị kẻ tấn công 10 triệu đô la để đổi lấy tiền.
Cách tiếp cận của Wormhole đối với vấn đề bảo mật cho cây cầu của mình bằng cách thưởng cho các hacker da trắng và các chuyên gia an ninh mạng có thể phát hiện ra các lỗ hổng trong hệ điều hành của chuỗi của nó sẽ bảo trợ một môi trường an toàn hơn cho các giao thức và cầu nối Blockchain vì một số cây cầu đã trở thành con mồi cho các trò gian lận trong năm nay.
Wormhole và Immunefi
Wormhole là một hệ thống nhắn tin liên kết các blockchains có giá trị cao. Các ứng dụng của nó sử dụng lớp nhắn tin chính để cho phép các hệ sinh thái giao tiếp với nhau. Các nhà phát triển có thể chia sẻ chuỗi chéo dữ liệu tùy ý, bao gồm mã thông báo, NFT, dữ liệu tiên tri, các quyết định quản trị và hơn thế nữa, nhờ vào 19 người bảo vệ của giao thức. Wormhole được kết nối với Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon và Avalanche.
Mặt khác, Immunefi là chương trình thưởng lỗi nổi bật nhất cho các hợp đồng thông minh và các dự án DeFi. Đó là nơi các nhà nghiên cứu bảo mật kiểm tra mã, tiết lộ lỗi và làm cho mã hóa an toàn hơn cho mọi người. Các hoạt động của Immunefi cho phép các nhà nghiên cứu bảo mật tìm thấy và phơi bày các lỗ hổng ứng dụng và hợp đồng thông minh tiềm ẩn, đồng thời được thưởng cho nó và trong quá trình này, bảo vệ các dự án dễ bị tấn công khỏi các cuộc tấn công.
Nguyên nhân của lỗi
Theo một bài đăng trên blog được xuất bản bởi Immunefi, lỗ hổng Wormhole xuất hiện sau khi được kết hợp cho một proxy Bình thường có thể nâng cấp chung (UUPS) “đã không được khởi tạo sau khi một bản sửa lỗi trước đó đã trả lại khởi tạo duy nhất, có nghĩa là kẻ tấn công có thể di chuyển bộ Người giám hộ của riêng họ và tiến hành nâng cấp với tư cách là Người bảo vệ mà họ đã quản lý. ”
Hơn nữa, dựa trên một bằng chứng về khái niệm (PoC) được phát hành cho GitHub bởi Immunefi, kẻ tấn công lợi dụng lỗ hổng bảo mật “có thể đã giữ toàn bộ hệ thống để đòi tiền chuộc với mối đe dọa rằng cầu Ethereum Wormhole có thể bị gạch và tất cả các tài sản hiện có trong hợp đồng đó thất lạc vô thời hạn ”.
PoC cũng tuyên bố rằng “tại thời điểm đệ trình, tài sản trị giá 736 triệu đô la vẫn nằm trong hợp đồng.”
Theo Immunefi, không có tài sản người dùng nào bị mất trước khi lỗ hổng được tìm thấy vì Wormhole có thể phản hồi nhanh chóng, xác minh và giải quyết vấn đề vào cùng ngày (24 tháng 2) mà satya0x đã báo cáo.
Hacker Mũ Trắng và Chương trình Phần thưởng
Chương trình tiền thưởng lỗi của Wormhole bổ sung thêm một lớp bảo vệ cho người dùng và thể hiện cam kết lâu dài của cô ấy trong việc làm cho giao thức Wormhole và hệ sinh thái DeFi an toàn hơn.
Chương trình tập trung vào việc ngăn chặn các hành vi khai thác khiến tiền của người dùng bị khóa, bị mất hoặc bị đánh cắp, giả mạo dữ liệu chưa được xác minh, thao túng quản trị, lộ khóa cá nhân, thực thi mã từ xa, v.v.
Phần thưởng của chương trình tiền thưởng lỗi lỗ sâu bọ dựa trên Hệ thống phân loại mức độ nghiêm trọng về lỗ hổng miễn dịch. Do đó, giải thưởng được phân phối tùy theo ảnh hưởng của lỗ hổng. Phát hiện một lỗ hổng hợp đồng thông minh ở mức “thấp”, chẳng hạn như một hacker mũ trắng hoặc chuyên gia bảo mật, có thể kiếm cho bạn tới 2.500 đô la, trong khi một lỗ hổng “quan trọng” có thể kiếm cho bạn tới 10 triệu đô la - giống như satya0x.
Satya0x đã nêu trong một tuyên bố được đăng bởi nền tảng tiền điện tử rằng các vấn đề bảo mật blockchain tạo thành “mối đe dọa hiện hữu” đối với tương lai của mạng.
"Tôi tự hào đã đóng một vai trò trong việc giảm thiểu tình trạng dễ bị tổn thương nghiêm trọng và mối đe dọa hệ thống đối với hệ sinh thái", satya0x nói
Ông bình luận thêm trong một tuyên bố theo Khối rằng Chúng tôi có nguy cơ cho phép tái hợp nhất các cấu trúc quyền lực mà chúng tôi tìm cách phá hủy nếu chúng tôi không nhận ra và tích cực giảm thiểu rủi ro hệ thống; nếu chúng tôi không cung cấp tính minh bạch và công cụ cần thiết để người dùng đưa ra quyết định sáng suốt; nếu chúng ta tiếp tục lên án những sai lầm đơn giản trong khi ca ngợi Tổng giá trị bị mất là thước đo thành công duy nhất.
Sự kết luận
Wormhole tin rằng chương trình tiền thưởng lỗi này và các sáng kiến tương tự khác sẽ giữ cho hệ sinh thái Blockchain an toàn trước các vụ tấn công và vi phạm bảo mật. Đây cũng là một cách để khuyến khích đội mũ trắng tiết lộ các lỗ hổng bảo mật và trở nên có năng lực hơn trong nhiệm vụ khi nó được thiết lập và họ sẽ được khen thưởng.
Tác giả: Gate.io Người quan sát: M. Olatunji
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.
Wormhole thưởng cho các hacker da trắng 10 triệu đô la để xác định và báo cáo một lỗi trong cây cầu xuyên chuỗi của nó.
Sau vụ hack 323 triệu đô la, cầu tiền điện tử đã thiết lập một chương trình tiền thưởng lỗi vào tháng Hai.
Tin tặc, có bút danh là satya0x, nhận xét rằng các vấn đề bảo mật blockchain đại diện cho một "mối đe dọa hiện hữu" đối với tương lai của công nghệ.
Chương trình thưởng Bounty của Wormhole dựa trên mức độ rủi ro mà hacker phát hiện ra.
Một hành động đáng chú ý được khen thưởng
Wormhole đã trả 10 triệu đô la cho một hacker đã tiết lộ điểm yếu bảo mật trong hợp đồng cầu lõi Ethereum của mình vào tháng 2, Theo đối tác tiền thưởng lỗi của nó là Immunefi. Phần thưởng đã được trao cho một hacker mũ trắng với bút danh satya0x, người đã phát hiện và báo cáo lỗ hổng mà anh ta mô tả là “lỗi tự hủy triển khai proxy có thể nâng cấp”.
Wormhole đã tiết lộ sáng kiến này vào tháng 2, chỉ vài ngày sau khi mất hơn 323 triệu đô la ETH vào tay một hacker trong một trong những cuộc tấn công giao thức DeFi quan trọng nhất. Nó nhanh chóng sửa đổi cầu nối blockchain của mình và đề nghị kẻ tấn công 10 triệu đô la để đổi lấy tiền.
Cách tiếp cận của Wormhole đối với vấn đề bảo mật cho cây cầu của mình bằng cách thưởng cho các hacker da trắng và các chuyên gia an ninh mạng có thể phát hiện ra các lỗ hổng trong hệ điều hành của chuỗi của nó sẽ bảo trợ một môi trường an toàn hơn cho các giao thức và cầu nối Blockchain vì một số cây cầu đã trở thành con mồi cho các trò gian lận trong năm nay.
Wormhole và Immunefi
Wormhole là một hệ thống nhắn tin liên kết các blockchains có giá trị cao. Các ứng dụng của nó sử dụng lớp nhắn tin chính để cho phép các hệ sinh thái giao tiếp với nhau. Các nhà phát triển có thể chia sẻ chuỗi chéo dữ liệu tùy ý, bao gồm mã thông báo, NFT, dữ liệu tiên tri, các quyết định quản trị và hơn thế nữa, nhờ vào 19 người bảo vệ của giao thức. Wormhole được kết nối với Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon và Avalanche.
Mặt khác, Immunefi là chương trình thưởng lỗi nổi bật nhất cho các hợp đồng thông minh và các dự án DeFi. Đó là nơi các nhà nghiên cứu bảo mật kiểm tra mã, tiết lộ lỗi và làm cho mã hóa an toàn hơn cho mọi người. Các hoạt động của Immunefi cho phép các nhà nghiên cứu bảo mật tìm thấy và phơi bày các lỗ hổng ứng dụng và hợp đồng thông minh tiềm ẩn, đồng thời được thưởng cho nó và trong quá trình này, bảo vệ các dự án dễ bị tấn công khỏi các cuộc tấn công.
Nguồn: Immunuefi
Nguyên nhân của lỗi
Theo một bài đăng trên blog được xuất bản bởi Immunefi, lỗ hổng Wormhole xuất hiện sau khi được kết hợp cho một proxy Bình thường có thể nâng cấp chung (UUPS) “đã không được khởi tạo sau khi một bản sửa lỗi trước đó đã trả lại khởi tạo duy nhất, có nghĩa là kẻ tấn công có thể di chuyển bộ Người giám hộ của riêng họ và tiến hành nâng cấp với tư cách là Người bảo vệ mà họ đã quản lý. ”
Hơn nữa, dựa trên một bằng chứng về khái niệm (PoC) được phát hành cho GitHub bởi Immunefi, kẻ tấn công lợi dụng lỗ hổng bảo mật “có thể đã giữ toàn bộ hệ thống để đòi tiền chuộc với mối đe dọa rằng cầu Ethereum Wormhole có thể bị gạch và tất cả các tài sản hiện có trong hợp đồng đó thất lạc vô thời hạn ”.
PoC cũng tuyên bố rằng “tại thời điểm đệ trình, tài sản trị giá 736 triệu đô la vẫn nằm trong hợp đồng.”
Theo Immunefi, không có tài sản người dùng nào bị mất trước khi lỗ hổng được tìm thấy vì Wormhole có thể phản hồi nhanh chóng, xác minh và giải quyết vấn đề vào cùng ngày (24 tháng 2) mà satya0x đã báo cáo.
Hacker Mũ Trắng và Chương trình Phần thưởng
Nguồn: Twitter
Chương trình tiền thưởng lỗi của Wormhole bổ sung thêm một lớp bảo vệ cho người dùng và thể hiện cam kết lâu dài của cô ấy trong việc làm cho giao thức Wormhole và hệ sinh thái DeFi an toàn hơn.
Chương trình tập trung vào việc ngăn chặn các hành vi khai thác khiến tiền của người dùng bị khóa, bị mất hoặc bị đánh cắp, giả mạo dữ liệu chưa được xác minh, thao túng quản trị, lộ khóa cá nhân, thực thi mã từ xa, v.v.
Phần thưởng của chương trình tiền thưởng lỗi lỗ sâu bọ dựa trên Hệ thống phân loại mức độ nghiêm trọng về lỗ hổng miễn dịch. Do đó, giải thưởng được phân phối tùy theo ảnh hưởng của lỗ hổng. Phát hiện một lỗ hổng hợp đồng thông minh ở mức “thấp”, chẳng hạn như một hacker mũ trắng hoặc chuyên gia bảo mật, có thể kiếm cho bạn tới 2.500 đô la, trong khi một lỗ hổng “quan trọng” có thể kiếm cho bạn tới 10 triệu đô la - giống như satya0x.
Satya0x đã nêu trong một tuyên bố được đăng bởi nền tảng tiền điện tử rằng các vấn đề bảo mật blockchain tạo thành “mối đe dọa hiện hữu” đối với tương lai của mạng.
"Tôi tự hào đã đóng một vai trò trong việc giảm thiểu tình trạng dễ bị tổn thương nghiêm trọng và mối đe dọa hệ thống đối với hệ sinh thái", satya0x nói
Ông bình luận thêm trong một tuyên bố theo Khối rằng Chúng tôi có nguy cơ cho phép tái hợp nhất các cấu trúc quyền lực mà chúng tôi tìm cách phá hủy nếu chúng tôi không nhận ra và tích cực giảm thiểu rủi ro hệ thống; nếu chúng tôi không cung cấp tính minh bạch và công cụ cần thiết để người dùng đưa ra quyết định sáng suốt; nếu chúng ta tiếp tục lên án những sai lầm đơn giản trong khi ca ngợi Tổng giá trị bị mất là thước đo thành công duy nhất.
Sự kết luận
Wormhole tin rằng chương trình tiền thưởng lỗi này và các sáng kiến tương tự khác sẽ giữ cho hệ sinh thái Blockchain an toàn trước các vụ tấn công và vi phạm bảo mật. Đây cũng là một cách để khuyến khích đội mũ trắng tiết lộ các lỗ hổng bảo mật và trở nên có năng lực hơn trong nhiệm vụ khi nó được thiết lập và họ sẽ được khen thưởng.
Tác giả: Gate.io Người quan sát: M. Olatunji
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.
Credit Ranking
Complete Gate Post tasks to upgrade your rank
Bài viết liên quan
