Gli exploit hanno regolarmente afflitto l'industria blockchain e i protocolli DeFi come mai prima d'ora. Quasi ogni giorno che passa c'è un'altra storia dell'orrore di un noto protocollo che viene prosciugato di fondi dagli hacker attraverso un exploit che avrebbe potuto essere catturato in anticipo. Ancora peggio è l'impatto che le notizie possono avere sulla comunità della criptovaluta interessata, che può crollare di valore e perdere prezioso supporto.
Questo è esattamente il motivo per cui una vulnerabilità critica e un informatore anonimo del cappello bianco hanno affascinato di recente la comunità delle criptovalute e hanno portato a un'indagine pubblica diffusa su Twitter tra i migliori sviluppatori blockchain. Ma chi c'era esattamente dietro la scoperta che ha salvato l'industria delle criptovalute un totale di oltre $ 650 milioni di valore?
Ecco i dettagli dell'incidente e come si è trasformato in una ricerca diffusa della società di auditing della sicurezza blockchain dietro la scoperta. Riveleremo anche esattamente chi sono gli eroi.
Perché Crypto Twitter ha avviato un'indagine su un informatore anonimo
Le tecnologie emergenti vengono sottoposte a rigorosi stress test utilizzando il pubblico come beta tester. Sebbene il più delle volte il team di sviluppo abbia le intenzioni più pure, anche la più piccola vulnerabilità può essere sfruttata in modo che nessun problema possa essere lasciato di intentato quando si tratta di codice pulito e sicuro.
Eppure è impossibile leggere i titoli dei media crittografici senza imbattersi in storie dopo storie di milioni di dollari persi in pochi istanti. I progetti interessati possono avere difficoltà a riprendersi e la comunità ne soffre. Gli sviluppatori di solito sono bloccati a fornire le cattive notizie alla comunità su cosa è successo esattamente e perché, e poi ricevono con riluttanza il contraccolpo e le ricadute.
Ma un recente esempio di tendenza su Twitter è stato uno dei rari lieto fine che ha catturato il cuore della comunità cripto. Un informatore anonimo ha salvato diversi importanti protocolli crittografici, come Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) e altri, fino a mezzo miliardo di dollari di valore.
White Hat Discovery porta a più di $ 650 milioni di criptovalute risparmiate
I danni stimati e le potenziali vittime includono Avalanche a circa $ 350 milioni; Abracadabra a circa $ 300 milioni di token MIM e altri $ 3 milioni in fondi utente; Nereus Finance con quasi 60 milioni di dollari in token NXUSD; e circa $ 100.000 in fondi da prestiti SUSHI. C'è anche un impatto sconosciuto relativo alla rete Boba.
Data l'enorme quantità di fondi tenuti al sicuro, gli sviluppatori dei protocolli interessati sono andati su Twitter alla ricerca dell'informatore anonimo che ha inviato la loro scoperta a ImmuneFi. È iniziato con il core dev di SushiSwap Matthew Lilley, che ha twittato sull'argomento e ha reso l'indagine di tendenza.
Kashi Markets su Avalanche è stato violato in seguito alla scoperta di un vettore di attacco introdotto dalla precompilazione Native Asset Call su Avalanche. Il team di Sushi è stato in grado di convalidare il rapporto, che è stato inviato da un whitehacker su @immunefi , creando un semplice PoC. 1/6
— Sono Software (@MatthewLilley) 8 settembre 2022
Nelle ore successive, un effetto domino di sviluppatori ha cominciato a farsi avanti e a rivelare la vulnerabilità ea lavorare su una soluzione immediata.
1/!
Siamo stati informati di una possibile vulnerabilità sui nostri calderoni Avalanche.
Nessun fondo utente è stato perso, la vulnerabilità è ora corretta e tutte le garanzie sono state protette.
Leggi di più sul nostro post mortem qui https://t.co/2HSvPkugEs
— (@MIM_Spell) 8 settembre 2022
Avalanche, Abracadabra e altri si fanno avanti con The Humble Hero
Solo oggi, Patrick O'Grady, Head of Engineering di Ava Labs, si è rivolto a Twitter per ringraziare Statemind, che in seguito si è fatta avanti come azienda di sicurezza blockchain per scoprire ampiamente la vulnerabilità.
@statemindio si è fatto avanti come l'anonimo whitehat che ha informato le squadre coinvolte: https://t.co/MmG4hkkad7
Grazie ancora per tutto il tuo lavoro per avvisare la community del problema!
— Patrick "The Faucet" O'Grady (@_patrickogrady) 8 settembre 2022
Anche l'account Twitter ufficiale di Abracadabra ha espresso il suo profondo ringraziamento per aver richiamato l'attenzione sulla vulnerabilità critica e aver salvato la comunità crittografica per l'ennesima storia dell'orrore.
!
Vorremmo ringraziare profondamente la società di revisione @statemindio per aver segnalato la vulnerabilità menzionata nel nostro ultimo annuncio.
Grazie alla loro segnalazione siamo riusciti a mettere al sicuro tutti i fondi e collaborare con @avalancheavax per correggere la vulnerabilità!
— (@MIM_Spell) 8 settembre 2022
Le vulnerabilità sono state risolte in tempi record. Sia Avalanche che Abracadabra hanno condiviso un'autopsia sulla situazione . È probabile che altre blockchain interessate seguano e forniscano trasparenza alla comunità in generale.
Chi è la squadra dietro l'eroismo del cappello bianco?
Chi è esattamente il team dietro la scoperta? Siamo stati in contatto con un blogger che lavora anche con l'azienda per saperne di più.
Conosco gli hacker anonimi che hanno rivelato l'exploit a @avalancheavax @MIM_Spell e @SushiSwap
risparmiando 3 milioni di dollari in fondi utente e 300 milioni di token MIM
se sei un giornalista di criptovalute e cerchi commenti/dettagli esclusivi dal team che ha trovato l'exploit fammi sapere https://t.co/3B8axWjYqS
— notEezzy (@notEezzy) 8 settembre 2022
La società di auditing della sicurezza blockchain Statemind ha esaminato il codice dei dieci migliori protocolli blockchain alla ricerca di precompilazioni personalizzate che potrebbero essere potenzialmente pericolose. Le esperienze passate, ha spiegato la società di revisione blockchain, hanno dimostrato che le precompilazioni personalizzate possono essere sempre più pericolose nell'ambiente giusto.
Secondo la ricerca, Avalanche e altri avevano una precompilazione "che consentiva di instradare chiamate arbitrarie attraverso la precompilazione che trasmetteva msg.sender". Per alcuni protocolli, ciò significava che chiunque poteva effettuare chiamate per conto del contratto del protocollo.
Statemind.io è una delle principali società di audit di sicurezza blockchain con oltre 100.000 LoC di Solidity e Vyper esperienza. Questa vasta esperienza ha portato a più di $ 10 miliardi di TVL assicurati e l'azienda si è classificata al 14 ° posto nel Paradigm CTF 2022. Grazie a Statemind, tutti i "fondi sono SAFU" e l'industria delle criptovalute ha un nuovo eroe del cappello bianco.