Wormhole宣布推出一千万美元的漏洞赏金计划

Wormhole奖励白帽黑客1000万美元，用于识别和报告其跨链桥中的漏洞。
在遭受一次3.23亿美元的黑客攻击后，加密桥于2月份建立了一个漏洞赏金计划。
这位笔名为satya0x的黑客评论道，区块链安全问题对该技术的未来构成了“生存威胁”。
Wormhole的悬赏奖励计划基于黑客发现的风险水平。


有奖的非凡行为

---

Wormhole的漏洞赏金合作伙伴Immunefi表示，Wormhole已向一名黑客支付了1000万美元，该黑客于2月份透露了其以太坊核心网桥合约的安全漏洞。该奖项授予了一名笔名为satya0x的白帽黑客，该黑客发现并报告了他称之为“可升级代理实现自毁漏洞”的网络缺陷。

Wormhole在二月份透露了这一计划，就在几天前，一名黑客在一次最重大的DeFi协议攻击中盗走价值超过超过3.23亿美元的ETH。Wormhole随即迅速修改了区块链桥，并向攻击者提供1000万美元以换取盗走资金。

Wormhole通过奖励能发现其链操作系统漏洞的白帽黑客和网络安全专家来确保其网桥的安全，这将为区块链协议和网桥提供一个更安全的环境，因为今年已有几座网桥成为网络攻击的牺牲品。

Wormhole和Immunefi

---

Wormhole是一个链接高价值区块链的通信传递系统。它的应用程序使用主消息层来允许生态系统相互通信。由于协议的19个守护者，开发人员可以跨链共享任意数据，包括代币、NFT、oracle数据、治理决策等。Wormhole与以太坊、Binance智能链、Solana、Terra、Oasis、Polygon和Avalanche相连。

另一方面，Immunefi是智能合约和DeFi项目中最突出的漏洞奖励计划。安全研究人员在这里检查代码，发现缺陷，并使加密对每个人都更安全。Immunefi操作使安全研究人员能发现并暴露潜在的智能合约和应用程序漏洞，并因此获得奖励，在此过程中，保护易受攻击的项目免受攻击。


漏洞的原因

---

根据Immunefi发布的一篇博客文章，在合并普通可升级代理正常（UUPS）代理后出现的Wormhole漏洞“在之前的错误修复返回唯一初始化后未初始化，这意味着攻击者可以移动自己的守护者集，并作为其管理的守护者继续升级。”

此外，根据Immunefi向GitHub发布的概念证明（PoC），利用该漏洞的攻击者“可能会勒索整个系统，威胁以太坊Wormhole桥可能被阻隔，并且该合约中存在的所有资产将无限期地错位。”

PoC还表示，“在提交时，合约中有7.36亿美元的资产。”

Immunefi表示，在发现漏洞之前，没有用户资产丢失，因为Wormhole能快速响应，并在satya0x报告的同一天（2月24日）验证和解决问题。

白帽黑客和奖励计划

---

Wormhole的奖励漏洞赏金计划为用户增加了一层额外的保护，并展示了她对使Wormhole协议和DeFi生态系统更加安全的长期承诺。

该计划的重点是防止导致用户资金被锁定、丢失或被盗的漏洞非法利用、伪造未经验证的数据、治理操纵、私钥泄露、远程代码执行等。

wormhole漏洞悬赏计划的奖励基于Immunefi漏洞严重性分类系统。因此，奖品是根据脆弱性的影响来分配的。例如，检测一个“低”级别的智能合约漏洞，作为一个白帽黑客或安全专家，可以为您赚取2500美元，而一个“关键”漏洞可以为您赚取1000万美元，就像satya0x一样。

Satya0x在加密平台发布的一份声明中表示，区块链安全问题对网络的未来构成“存在威胁”。

satya0x说：“我很自豪能在缓解生态系统的严重脆弱性和系统性威胁方面发挥作用。”。

他在一份声明中进一步表示，如果我们未能认识到并积极降低系统性风险，我们就有可能重新出现我们试图摧毁的权力结构；如果我们未能提供用户做出明智决策所需的透明度和工具；如果我们继续谴责简单的错误，同时赞扬损失的总价值是衡量成功的唯一标准。

结语

---

Wormhole认为，该漏洞赏金计划和其他类似举措将使区块链生态系统免受黑客攻击和安全违法行为。这也是鼓励白帽黑客暴露安全漏洞的一种方式，如果这类黑客接受此类任务后其表现突出，确实能解决相关网络问题，他们也将会得到奖励。



作者：Gate.io研究员M. Olatunji 译者： Joy Z.
声明：
*本文仅代表研究员观点，不构成任何交易建议。
*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处，否则将追究法律责任。