Wormhole оголосив про винагороду у розмірі $10 млн за виявлення багів

Wormhole пропонує білим хакерам $10 млн за виявлення багів у його кроссчейн-мості.

Після злому на $323 млн у лютому криптоміст започаткував програму винагороди за виявлення багів.

Хакер під псевдонімом satya0x зазначив, що проблеми з безпекою блокчейна є "екзистенційною загрозою" для майбутнього технології.

Система заохочення Wormhole працює відповідно до серйозності виявленої проблеми.

Винагорода за добру справу

Wormhole виплатив $10 млн хакеру, який у лютому виявив уразливість у базовому бридж-контракті Ethereum. Про це повідомив партнер протоколу Immunefi. Нагороду отримав білий хакер під псевдонімом satya0x, який виявив і повідомив про вразливість, яку він назвав "багом самознищення реалізації проксі, що оновлюється".

Wormhole оголосив про цю ініціативу в лютому, всього через кілька днів після того, у протоколу було вкрадено більше $323 млн в ETH внаслідок однієї із наймасштабніших атак на протокол DeFi. Wormhole швидко виправив помилку в блокчейн-мості та запропонував зловмиснику $10 млн в обмін на вкрадені кошти.

Підхід Wormhole до забезпечення безпеки свого мосту шляхом нагородження білих хакерів та експертів з кібербезпеки, які можуть виявити лазівки в операційних системах його мережі, сприятиме створенню безпечнішого середовища для протоколів та блокчейн-мостів, оскільки цього року вже кілька мостів постраждали від хакерських атак .

Wormhole та Immunefi

Wormhole – це система обміну повідомленнями, яка пов'язує блокчейни. Програми цього мосту використовують основний рівень обміну повідомленнями, щоб екосистеми могли спілкуватися один з одним. Розробники можуть обмінюватися між собою довільними даними, включаючи токени, NFT, дані оракула, рішення з управління та багато іншого завдяки 19 опікунам протоколу. Wormhole підключений до Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon та Avalanche.

Immunefi є найвідомішою баунті-платформою для виявлення багів у смарт-контрактах та проектах DeFi. Саме тут дослідники безпеки вивчають код, виявляють недоліки та роблять шифрування безпечнішим для всіх. На Immunefi дослідники безпеки знаходять і виявляють потенційні вразливості смарт-контрактів та додатків та отримують за це винагороду, а також захищають уразливі проекти від атак.

Джерело: Immunefi

Причина бага

Згідно з постом у блозі Immunefi, вразливість Wormhole виявилася після того, як інкорпорація проксі-сервера Common Upgradeable Proxy Normal (UUPS) “була неініціалізована після того, як попереднє виправлення повернуло унікальну ініціалізацію, тобто, зловмисники могли перемістити свій власний набір Стража (Guardian) та продовжити оновлення у якості Стража, яким вони керували”.

Крім того, на підставі доказу концепції (PoC), опублікованого Immunefi на GitHub, зловмисники "могли б вимагати викуп за всю систему, погрожуючи, що Ethereum-міст Wormhole буде заблокований, і всі активи в цьому контракті будуть втрачені на невизначений термін".

У PoC також вказувалося, що "на момент подання заявки активи на суму $736 млн перебували в контракті".

Згідно з Immunefi, користувальницькі активи не були втрачені до того, як вразливість була виявлена, оскільки Wormhole зміг швидко відреагувати, перевіривши та усунувши проблему того ж дня (24 лютого), коли про неї повідомив satya0x.

Білий хакер та програма винагород

Джерело: Twitter

Баунті-програма Wormhole для виявлення багів надає користувачам додатковий рівень захисту та демонструє довгострокове прагнення зробити протокол Wormhole та екосистему DeFi безпечнішими.

Програма спрямована на запобігання експлойтам, які призводять до блокування, втрати або крадіжки користувальницьких засобів, підробки неперевірених даних, маніпулювання управлінням, розкриття закритих ключів, віддаленого виконання коду тощо.

Винагороди в баунті програмі Wormhole для виявлення багів засновані на системі класифікації серйозності вразливостей Immunefi. Отже, винагороди розподіляються відповідно до серйозності виявленої проблеми. При виявленні вразливості смарт-контракту "низького" рівня загрози, наприклад, хакер або фахівець з безпеки може отримати до $2500, а баг "критичного" рівня може принести до $10 млн, що і сталося у випадку з satya0x.

У заяві, опублікованій криптоплатформою, satya0x сказав, що проблеми безпеки блокчейна є "екзистенційною загрозою" для майбутнього мережі.

"Я пишаюся тим, що зробив свій внесок у зменшення небезпеки та системної загрози для екосистеми", - сказав satya0x.

Також він дав коментар для порталу новин The Block, в якому сказав, що ми ризикуємо допустити відродження тих самих владних структур, які ми прагнемо зруйнувати, якщо ми не зможемо розпізнати і ефективно знизити системний ризик, і якщо ми не зможемо забезпечити прозорість та інструменти, необхідні користувачам для прийняття обґрунтованих рішень, і якщо ми продовжимо засуджувати прості помилки, при цьому вихваляючи загальну втрачену вартість як єдину міру успіху.

Висновок

Wormhole вважає, що ця баунті-програма для виявлення багів та інші подібні ініціативи захистять екосистему блокчейн від зломів та порушень безпеки. Ця платформа також дасть стимул білим хакерам виявляти вразливість у системі безпеки та продуктивніше виконувати завдання, оскільки за це встановлено винагороду.

Автор: дослідник Gate.io Olatunji M.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.