Η Belt Finance, ένα πρωτόκολλο αυτόματης δημιουργίας αγορών (AMM) που λειτουργεί μια στρατηγική βελτιστοποίησης απόδοσης στο Binance Smart Chain (BSC), ισχυρίζεται ότι πλήρωσε τη μεγαλύτερη αμοιβή στην ιστορία της αποκεντρωμένης χρηματοδότησης (DeFi) σε έναν χάκερ whitehat που απέτρεψε ένα σφάλμα 10 εκατομμυρίων δολαρίων κρίση.
Ο προγραμματιστής της βιομηχανίας whitehat Alexander Schlindwein ανακάλυψε την ευπάθεια στο πρωτόκολλο της Belt Finance αυτή την εβδομάδα και ανέφερε τα νέα στην ομάδα. Για τις προσπάθειές του, ο Schlindwein έλαβε μια γενναιόδωρη αποζημίωση 1.05 εκατομμυρίων δολαρίων, η πλειοψηφία των οποίων (1 εκατομμύριο δολάρια) χορηγήθηκε από την Immunefi, με τα επιπλέον 50,000 δολάρια που προσφέρονται από το πρόγραμμα Priority One της Binance Smart Chain.
Το Immunefi είναι ένας από τους ηγέτες της αγοράς στην ασφάλεια λογισμικού για έργα κρυπτονομισμάτων. Από την έναρξή της, η πλατφόρμα φέρεται να έχει πληρώσει πάνω από 3 εκατομμύρια δολάρια σε χάκερ whitehat που εντόπισαν με επιτυχία ελαττώματα τεχνικής υποδομής σε έξυπνα συμβόλαια και πλατφόρμες κρυπτογράφησης.
Το Priority One είναι μια πρωτοβουλία της BSC που ξεκίνησε τον Ιούλιο για να ενισχύσει την ασφάλεια των dApp στο εγγενές οικοσύστημα της πλατφόρμας. Αντικατοπτρίζοντας τη δομή του Immunefi, η υπηρεσία παρέχει ένα ταμείο κινήτρου 10 εκατομμυρίων δολαρίων σε κυνηγούς επικηρυγμένων του blockchain που συμβάλλουν με επιτυχία στην αποφυγή παραβιάσεων ασφάλειας σε 100 dApps.
Ο Alexander Schlindwein είπε στην Cointelegraph για το πώς ανακάλυψε την ευπάθεια:
«Πήρα τη λίστα με τα bug bounties στο Immunefi και διάλεξα το Belt Finance ως το επόμενο που θα δουλέψω. Ενώ μελετούσα τα έξυπνα συμβόλαιά τους, παρατήρησα ένα πιθανό σφάλμα στην εσωτερική τήρηση λογιστικών βιβλίων που παρακολουθεί τα κατατεθειμένα κεφάλαια κάθε χρήστη. Παίζοντας την επίθεση με στυλό και χαρτί μου έδωσε περισσότερη εμπιστοσύνη στην ύπαρξη του ζωύφιου. Συνέχισα προσκομίζοντας μια κατάλληλη απόδειξη της ιδέας που αναμφίβολα επιβεβαίωσε την εγκυρότητα και την οικονομική ζημιά της».
«Το επόμενο βήμα ήταν να δημιουργηθεί μια επίσημη αναφορά για το Immunefi, συμπεριλαμβανομένου του PoC και μιας εκτενούς περιγραφής του exploit», είπε ο Schlindwein, προσθέτοντας, «Το Immunefi αντέδρασε αμέσως στην κριτική αναφορά και μέσα σε τρία λεπτά μετά την υποβολή, κλιμακώθηκε στη ζώνη ομάδα. Λίγο αργότερα, η Belt επιβεβαίωσε την εγκυρότητα της αναφοράς και άρχισε να εφαρμόζει μια επιδιόρθωση η οποία στη συνέχεια διόρθωση της ευπάθειας.»
Αν και οι παραβιάσεις ασφαλείας του DeFi παραμένουν μια διαδεδομένη ανησυχία, έχει υποστηριχθεί από ορισμένους ότι το εκκολαπτόμενο οικοσύστημα θα επωφεληθεί από τέτοια περιστατικά μακροπρόθεσμα, καθώς επισημαίνονται έντονα οι αδυναμίες.
Η Cointelegraph ρώτησε τον Schlindwein την άποψή του σχετικά με τη σημασία των προγραμμάτων bounty για την υποστήριξη των αντιεύθραυστων φιλοδοξιών της DeFi:
«Είμαι σθεναρά πεπεισμένος για τη σημασία των επιδομάτων σφαλμάτων και των πρωτοβουλιών όπως τα αμοιβαία κεφάλαια. Η ασφάλεια DeFi αποτελείται από πολλαπλά επίπεδα, ξεκινώντας από την αξιολόγηση από ομοτίμους και τη δοκιμή μονάδας έως τους εξωτερικούς ελέγχους και την επίσημη επαλήθευση. Τα επιδόματα σφαλμάτων είναι η τελευταία γραμμή άμυνας σε περίπτωση που ένα πρόβλημα ξεφύγει από τα υπερκείμενα στρώματα με τη δυνατότητα να αποτραπεί ένα καταστροφικό hack ενώ αντίθετα επιλύεται σοβαρά το πρόβλημα και αποζημιώνεται ο ανιχνευτής."
«Τα bug bounties στο DeFi ήταν ένα σπάνιο θέαμα πριν από την ύπαρξη του Immunefi, που προσφερόταν μόνο από την «Crème de la Crème» των έργων. Είναι υπέροχο να βλέπεις εκατοντάδες έργα να λανσάρουν το bug bounty τους σήμερα, κάτι που σίγουρα θα φέρει μπροστά την ασφάλεια του DeFi μακροπρόθεσμα», κατέληξε ο Schlindwein.
Πηγή: https://cointelegraph.com/news/white-hat-hacker-paid-defi-s-largest-reported-bounty-fee