Специалист Immunefi обнаружил уязвимость в программном обеспечении, которая могла быть использована для кражи сотен миллионов долларов
Эксперт по кибербезопасности Immunefi обнаружил уязвимость в программном обеспечении, которая могла быть использована для кражи около $200 млн из трех совместимых с Ethereum парачейнов на лаунчпаде Polkadot — Moonbeam, Astar Network и Acala. Об этом сообщает The Block.
Исследователь под ником pwning.eth сообщил о критической уязвимости в программном обеспечении под названием Frontier, которое используется для «обертывания» нативных токенов в трех блокчейн-проектах (или парачейнах) на Polkadot. Отчет представили еще 27 июня прошлого года, однако его раскрыли только недавно.
«Pwning.eth обнаружил ошибку, которая затронула всю экосистему Polkadot и позволила бы хакерам украсть более $200 миллионов долларов в Moonbeam, Astar Network и Acala», — сообщил представитель Immunefi.
По его словам, уязвимость позволила бы злоумышленникам создавать нативные токены, которые будут поддерживаться большинством приложений. Это делается через смарт-контракты, которые хранят нативные токены на условном депонировании и выдают обернутые токены пользователю.
После того, как об уязвимости стало известно, три команды парачейнов работали над ее исправлением и выпустили экстренный патч, прежде чем злоумышленники смогли воспользоваться недоработкой и похитить деньги. В результате ни один из парачейнов не потерял деньги.
Moonbeam и Astar, у которых есть программы вознаграждения за ошибки, выделили $1 млн исследователю. Parity, разработчик Frontier Library, решил внести $250 000 в общий пул наград.
В начале прошлого года белый обнаружил уязвимость в блокчейне Polygon. Злоумышленник смог бы воспользоваться уязвимостью, только если бы совпали определенные условия, например, доступность позиции валидатора и наличие средств, чтобы покрыть затраты. Благодаря обнаружению ошибки проект спас активы на миллиарды долларов. В результате Нив Йехезкель получил $75 000 в качестве награды.
Всего по итогам 2022 года Immunefi защитил от хакеров более 300 проектов и спас свыше $20 млрд пользовательских средств. Ожидается, что проекты будут выделять все более крупные суммы на вознаграждения для белых хакеров, чтобы мотивировать их на взаимовыгодное сотрудничество.
