ექსპლოიტეტების რეგულარულად აწუხებს ბლოკჩეინის ინდუსტრიას და DeFi პროტოკოლებს, როგორც არასდროს. თითქმის ყოველი გასული დღე არის მორიგი საშინელებათა ისტორია ცნობილი პროტოკოლის შესახებ, რომელიც ჰაკერების მიერ თანხებიდან ამოწურულია ექსპლოიტის საშუალებით, რომელიც შეიძლებოდა წინასწარ დაეჭირა. კიდევ უფრო უარესი არის ის გავლენა, რაც ახალ ამბებს შეიძლება ჰქონდეს ზემოქმედების ქვეშ მოქცეული კრიპტოვალუტის საზოგადოებაზე, რომელიც შეიძლება შემცირდეს ღირებულებაში და დაკარგოს ღირებული მხარდაჭერა.
სწორედ ამიტომაა, რომ კრიტიკულმა დაუცველობამ და ანონიმურმა თეთრი ქუდის მომწოდებელმა მოხიბლა კრიპტო-საზოგადოება ახლახან და გამოიწვია ფართო საჯარო გამოძიება Twitter-ზე ბლოკჩეინის საუკეთესო დეველოპერებს შორის. მაგრამ ვინ იდგა იმ აღმოჩენის უკან, რომელმაც გადაარჩინა კრიპტოვალუტის ინდუსტრია 650 მილიონ დოლარზე მეტი ღირებულებით?
აქ არის ინციდენტის დეტალები და როგორ გადაიზარდა იგი აღმოჩენის უკან ბლოკჩეინის უსაფრთხოების აუდიტორული ფირმის ფართო ძიებაში. ჩვენ ასევე გამოვავლენთ ზუსტად ვინ არიან გმირები.
რატომ დაიწყო კრიპტო ტვიტერმა გამოძიება ანონიმური ტიპსტერზე
განვითარებადი ტექნოლოგიები ხორციელდება მკაცრი სტრეს-ტესტების მეშვეობით საზოგადოების ბეტა ტესტერების გამოყენებით. მიუხედავად იმისა, რომ უფრო ხშირად დეველოპერულ გუნდს აქვს ყველაზე სუფთა ზრახვები, ყველაზე მცირე დაუცველობაც კი შეიძლება გამოიყენოს ისე, რომ არ დარჩეს ქვაზე, როცა საქმე სუფთა და უსაფრთხო კოდს ეხება.
მიუხედავად ამისა, შეუძლებელია კრიპტო მედიის სათაურების წაკითხვა რამდენიმე წამში დაკარგული მილიონობით დოლარის სიუჟეტების შემდეგ წაკითხვის გარეშე. ზემოქმედების ქვეშ მყოფი პროექტები შეიძლება იბრძვიან გამოჯანმრთელებისთვის და ამის შედეგად საზოგადოება ზარალდება. დეველოპერები, როგორც წესი, ჩერდებიან საზოგადოებისთვის ცუდი ამბების მიწოდებაზე იმის შესახებ, თუ რა მოხდა და რატომ, შემდეგ კი უხალისოდ იღებენ უკუშედეგს და შედეგებს.
მაგრამ ბოლო მაგალითი, რომელიც პოპულარული იყო Twitter-ზე, იყო ერთ-ერთი იშვიათი ბედნიერი დასასრული, რომელმაც დაიპყრო კრიპტო საზოგადოების გული. ანონიმურმა მომხსენებელმა დაზოგა რამდენიმე საუკეთესო კრიპტო პროტოკოლი - როგორიცაა Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) და სხვა - ნახევარი მილიარდი დოლარის ღირებულებით.
თეთრი ქუდის აღმოჩენამ 650 მილიონ დოლარზე მეტი დაზოგა კრიპტოვალუტაში
სავარაუდო ზარალი და სავარაუდო მსხვერპლი მოიცავს ზვავს დაახლოებით 350 მილიონი აშშ დოლარის ოდენობით; Abracadabra დაახლოებით $300M ღირებულების MIM ტოკენები და დამატებითი $3M მომხმარებლის სახსრები; Nereus Finance თითქმის $60 მილიონი NXUSD ტოკენებით; და დაახლოებით 100 ათასი აშშ დოლარის სახსრები SUSHI სესხებიდან. ასევე არსებობს უცნობი გავლენა, რომელიც დაკავშირებულია ბობა ქსელთან.
უსაფრთხოდ დაცული უზარმაზარი თანხების გათვალისწინებით, დაზარალებული პროტოკოლების დეველოპერებმა Twitter-ზე შეიტანეს ანონიმური მწერლის ძებნა, რომელმაც მათი აღმოჩენა გაუგზავნა ImmuneFi-ს. ეს დაიწყო SushiSwap-ის ძირითადი შემქმნელმა მეთიუ ლილემ, რომელმაც დაწერა ტვიტერზე ამ თემაზე და გამოძიების ტენდენცია მიიღო.
Kashi Markets on Avalanche-ზე გათეთრდა მას შემდეგ, რაც აღმოაჩინა თავდასხმის ვექტორი, რომელიც შემოიღო Native Asset Call-ის პრეკომპილემ Avalanche-ზე. სუშის გუნდმა შეძლო მოხსენების დადასტურება, რომელიც წარმოდგენილი იყო უაითჰეკერის მიერ @immunefiმარტივი PoC-ის შექმნით. 1/6
— მე ვარ პროგრამული უზრუნველყოფა 🦇🔊 (@MatthewLilley) სექტემბერი 8, 2022
მომდევნო საათებში, დეველოპერების დომინოს ეფექტი დაიწყო და გამოავლინა დაუცველობა და მუშაობა დაუყოვნებლივ გამოსწორებაზე.
1/🧙🏼♂️!
ჩვენ შეგვატყობინეს შესაძლო დაუცველობის შესახებ ჩვენს ზვავის ქვაბებზე.
მომხმარებლის სახსრები არ დაიკარგა, დაუცველობა ახლა შესწორებულია და ყველა გირაო უზრუნველყოფილია.
📖 წაიკითხეთ მეტი ჩვენი პოსტის მოკვლის შესახებ აქ👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) სექტემბერი 8, 2022
ზვავი, აბრაკადაბრა და სხვები მოდიან წინ თავმდაბალ გმირთან ერთად
მხოლოდ დღეს არ იყო, როდესაც Ava Labs-ის ინჟინერიის ხელმძღვანელმა პატრიკ ო'გრეიდმა Twitter-ზე მადლობა გადაუხადა Statemind-ს, რომელიც მოგვიანებით წინ წამოიწია, როგორც ბლოკჩეინის უსაფრთხოების ფირმა, რათა ფართოდ აღმოაჩინა დაუცველობა.
👀👀@statemindio გამოვიდა, როგორც ანონიმური უაიტჰათი, რომელმაც აცნობა მონაწილე გუნდებს: https://t.co/MmG4hkkad7
კიდევ ერთხელ გმადლობთ მთელი თქვენი მუშაობისთვის, რათა გააფრთხილოთ საზოგადოება ამ საკითხის შესახებ! 🫡
- პატრიკ "ონკანი" ო'გრეიდი 🔺 (@_patrickogrady) სექტემბერი 8, 2022
Abracadabra Twitter-ის ოფიციალურმა ანგარიშმა ასევე გამოხატა თავისი ღრმა მადლობა კრიტიკულ დაუცველობაზე ყურადღების მიქცევისთვის და კრიპტო საზოგადოების გადარჩენისთვის კიდევ ერთი საშინელებათა ისტორიისთვის.
🧙🏼♂️!
გვინდა უღრმესი მადლობა გადავუხადოთ აუდიტორულ ფირმას @statemindio ჩვენს ბოლო განცხადებაში ნახსენები დაუცველობის შესახებ მოხსენებისთვის. 🔮
მათი ანგარიშის წყალობით ჩვენ მოვახერხეთ ყველა თანხის მოპოვება და ერთად მუშაობა @avalancheavax დაუცველობის გასასწორებლად!🔥
— 🧙🏼♂️ (@MIM_Spell) სექტემბერი 8, 2022
ხარვეზები დაფიქსირდა რეკორდულ დროში. ზვავიც და აბრაკადაბრაც აქვს გააზიარა პოსტი მოკვლა სიტუაციის შესახებ. სხვა დაზარალებული ბლოკჩეინები, სავარაუდოდ, მიჰყვებიან და უზრუნველყოფენ გამჭვირვალობას ფართო საზოგადოებისთვის.
ვინ არის გუნდი, რომელიც დგას თეთრი ქუდის გმირების უკან?
კონკრეტულად ვინ დგას ამ აღმოჩენის უკან გუნდი? ჩვენ დავუკავშირდით ბლოგერს, რომელიც ასევე მუშაობს კომპანიასთან მეტის გასაგებად.
მე ვიცი ანონიმური ჰაკერები, რომლებმაც გაამხილეს ექსპლოიტი @avalancheavax @MIM_Spell & @SushiSwap
3 მილიონი დოლარის დაზოგვა მომხმარებლის სახსრებში და 300 მილიონი $MIM tokens
თუ თქვენ ხართ კრიპტო ჟურნალისტი, რომელიც ეძებს კომენტარებს/ექსკლუზიურ დეტალებს გუნდისგან, რომელმაც აღმოაჩინა ექსპლოიტი, შემატყობინეთ 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) სექტემბერი 8, 2022
ბლოკჩეინის უსაფრთხოების აუდიტორულმა ფირმა Statemind-მა განიხილა ბლოკჩეინის ათი საუკეთესო პროტოკოლის კოდი მორგებული პრეკომპილების მოსაძებნად, რომლებიც შეიძლება პოტენციურად საშიში იყოს. წარსულმა გამოცდილებამ, განმარტა ბლოკჩეინის აუდიტორულმა ფირმამ, აჩვენა, რომ მორგებული წინასწარ კომპილაციები შეიძლება სულ უფრო საშიში იყოს სწორ გარემოში.
კვლევის თანახმად, Avalanche-ს და სხვებს ჰქონდათ პრეკომპილი, „რომელიც საშუალებას აძლევდა თვითნებური ზარების გაგზავნას წინასწარ კომპილიდან, რომელიც გადასცემს msg.sender“. ზოგიერთი პროტოკოლისთვის ეს ნიშნავდა, რომ ნებისმიერს შეეძლო დარეკვა პროტოკოლის ხელშეკრულების სახელით.
Statemind.io არის წამყვანი ბლოკჩეინის უსაფრთხოების აუდიტის კომპანია, 100,000-ზე მეტი LoC of Solidity და Vyper გამოცდილებით. ამ უზარმაზარმა გამოცდილებამ განაპირობა $10 მილიარდზე მეტი TVL-ის უზრუნველყოფა და ფირმა დაიკავა მე-14 ადგილზე CTF 2022 წლის პარადიგმაში. Statemind-ის წყალობით, ყველა „ფინანსები არის SAFU“ და კრიპტოვალუტის ინდუსტრიას ჰყავს ახალი თეთრი ქუდის გმირი.
წყარო: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/