漏洞 一直以前所未有的方式困擾著區塊鏈行業和 DeFi 協議。 幾乎每一天都有另一個恐怖故事,一個眾所周知的協議被黑客通過可能提前發現的漏洞耗盡資金。 更糟糕的是新聞可能對受影響的加密貨幣社區產生影響,這可能會導致價值崩潰並失去寶貴的支持。
這就是為什麼一個關鍵漏洞和一個匿名的白帽提示者最近吸引了加密社區,並導致頂級區塊鏈開發人員在 Twitter 上進行了廣泛的公開調查。 但究竟是誰在為加密貨幣行業節省了超過 650 億美元的價值的發現背後?
以下是該事件的詳細信息,以及它如何演變成對發現背後的區塊鏈安全審計公司的廣泛搜索。 我們還將準確揭示英雄是誰。
為什麼 Crypto Twitter 對匿名推銷員展開調查
新興技術通過使用公眾作為 Beta 測試人員的嚴格壓力測試。 儘管開發團隊通常有最純粹的意圖,但即使是最小的漏洞也可以被利用,因此在清潔和安全的代碼方面可以不遺餘力。
然而,如果不偶然發現一個又一個故事,即在片刻之間損失了數百萬美元,就不可能閱讀加密媒體的頭條新聞。 受影響的項目可能難以恢復,社區因此受到影響。 開發人員通常被困在向社區傳達關於究竟發生了什麼以及原因的壞消息,然後不情願地接受了強烈反對和後果。
但最近在 Twitter 上流行的一個例子是抓住了加密社區核心的罕見的幸福結局之一。 一位匿名提示者保存了幾個頂級加密協議——例如 Avalanche (AVAX)、Abracadabra (MIM)、SushiSwap (SUSHI) 等——價值高達 XNUMX 億美元。
白帽發現為加密貨幣節省了超過 650 億美元
估計損失和潛在受害者包括大約 350 億美元的 Avalanche; Abracadabra 價值約 300 億美元的 MIM 代幣和額外 3 萬美元的用戶資金; Nereus Finance 擁有近 60 萬美元的 NXUSD 代幣; 以及來自 SUSHI 貸款的大約 100 萬美元資金。 還有一個與 Boba Network 相關的未知影響。
鑑於大量資金的安全,受影響協議的開發人員前往 Twitter 尋找將他們的發現發送給 ImmuneFi 的匿名舉報人。 它始於 SushiSwap 核心開發人員 Matthew Lilley,他在推特上發布了該主題並獲得了調查趨勢。
在發現由 Avalanche 上的 Native Asset Call 預編譯引入的攻擊向量後,Avalanche 上的 Kashi Markets 被白黑了。 Sushi 團隊能夠驗證該報告,該報告是由一個白黑客提交的 @immunefi,通過製作一個簡單的 PoC。 1/6
— 我是軟件🦇🔊 (@MatthewLilley) 2022 年 9 月 8 日
在接下來的幾個小時裡,開發人員的多米諾骨牌效應開始出現,並揭示了漏洞並立即修復。
1/🧙🏼♂️!
我們已獲悉 Avalanche 坩堝可能存在漏洞。
沒有任何用戶資金丟失,漏洞現已修復,所有抵押品均已得到保護。
📖 在這裡閱讀更多關於我們的驗屍報告👇🏻https://t.co/2HSvPkugEs
- 🧙🏼♂️ (@MIM_Spell) 2022 年 9 月 8 日
雪崩、阿布拉卡達布拉和其他人帶著謙遜的英雄挺身而出
直到今天,Ava Labs 工程主管 Patrick O'Grady 才在 Twitter 上對 Statemind 表示感謝,Statemind 後來作為區塊鏈安全公司挺身而出,廣泛發現了該漏洞。
👀👀@statemindio 以匿名白帽的身份挺身而出,向相關團隊提供了線索: https://t.co/MmG4hkkad7
再次感謝您為提醒社區注意該問題所做的所有工作! 🫡
— 帕特里克“水龍頭”奧格雷迪🔺 (@_patrickogrady) 2022 年 9 月 8 日
官方的 Abracadabra Twitter 帳戶也對引起人們對關鍵漏洞的關注並為另一個恐怖故事拯救加密社區表示深深的感謝。
!
我們要深深感謝審計公司 @statemindio 用於報告我們最新公告中提到的漏洞。 🔮
多虧了他們的報告,我們設法獲得了所有資金並與 @avalancheavax 修補漏洞!🔥
- 🧙🏼♂️ (@MIM_Spell) 2022 年 9 月 8 日
這些漏洞在創紀錄的時間內得到修復。 Avalanche 和 Abracadabra 都有 分享了有關情況的驗屍報告. 其他受影響的區塊鏈可能會效仿並為整個社區提供透明度。
誰是白帽英雄背後的團隊?
發現背後的團隊到底是誰? 我們聯繫了一位博主,他也與該公司合作以了解更多信息。
我知道匿名黑客披露了這個漏洞 @avalancheavax @MIM_Spell & @壽司交換
節省 3 萬美元的用戶資金和 300 億美元 $ME 令牌
如果你是一名加密記者,正在尋找發現漏洞的團隊的評論/獨家細節,請告訴我🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) 2022 年 9 月 8 日
區塊鏈安全審計公司 Statemind 審查了十個頂級區塊鏈協議的代碼,以尋找可能具有潛在危險的自定義預編譯。 區塊鏈審計公司解釋說,過去的經驗表明,在適當的環境中,自定義預編譯可能會變得越來越危險。
根據這項研究,Avalanche 和其他人有一個預編譯“允許通過中繼 msg.sender 的預編譯路由任意調用”。 對於某些協議,這意味著任何人都可以代表協議的合約進行調用。
Statemind.io 是一家領先的區塊鏈安全審計公司,擁有超過 100,000 LoC 的 Solidity 和 Vyper 經驗。 這種豐富的經驗導致 TVL 獲得超過 10B 美元的擔保,該公司在 Paradigm CTF 14 中排名第 2022。感謝 Statemind,所有“資金都是 SAFU”,加密貨幣行業有了新的白帽英雄。
資料來源:https://bitcoinist.com/statemind-avalanche-crypto-white-hat/