exploits hebben de blockchain-industrie en DeFi-protocollen regelmatig teisteren als nooit tevoren. Bijna elke dag die voorbijgaat, is er een ander horrorverhaal over een bekend protocol dat door hackers wordt leeggezogen door een exploit die van tevoren had kunnen worden gepakt. Nog erger is de impact die het nieuws kan hebben op de gemeenschap van de getroffen cryptocurrency, die in waarde kan crashen en waardevolle ondersteuning kan verliezen.
Dit is precies waarom een kritieke kwetsbaarheid en een anonieme white hat-tipter de crypto-gemeenschap onlangs boeiden en leidden tot een wijdverbreid openbaar onderzoek op Twitter tussen top blockchain-ontwikkelaars. Maar wie zat er precies achter de ontdekking die de cryptocurrency-industrie in totaal meer dan $ 650 miljoen aan waarde heeft bespaard?
Hier zijn de details van het incident en hoe het uitmondde in een wijdverbreide zoektocht naar het blockchain-beveiligingscontrolebedrijf achter de ontdekking. We zullen ook precies onthullen wie de helden zijn.
Waarom Crypto Twitter een onderzoek lanceerde naar een anonieme tipster
Opkomende technologieën worden onderworpen aan strenge stresstests waarbij het publiek als bètatesters wordt gebruikt. Hoewel het ontwikkelteam vaker wel dan niet de zuiverste bedoelingen heeft, kan zelfs de kleinste kwetsbaarheid worden misbruikt, zodat er geen middel onbeproefd kan worden gelaten als het gaat om schone en veilige code.
Toch is het onmogelijk om de krantenkoppen van crypto-media te lezen zonder verhaal na verhaal tegen te komen van miljoenen dollars die in enkele ogenblikken verloren zijn gegaan. Getroffen projecten kunnen moeite hebben om te herstellen, en de gemeenschap lijdt als gevolg daarvan. Ontwikkelaars zitten meestal vast met het leveren van het slechte nieuws aan de gemeenschap over wat er precies is gebeurd en waarom, en ontvangen dan met tegenzin de terugslag en gevolgen.
Maar een recent voorbeeld dat trending was op Twitter, was een van de zeldzame gelukkige eindes die het hart van de crypto-gemeenschap heeft veroverd. Een anonieme tipgever heeft verschillende crypto-topprotocollen bespaard - zoals Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) en andere - maar liefst een half miljard dollar aan waarde.
White Hat-ontdekking leidt tot meer dan $ 650 miljoen aan bespaarde cryptovaluta
Geschatte schade en potentiële slachtoffers omvatten Avalanche op ongeveer $ 350 miljoen; Abracadabra voor ongeveer $ 300 miljoen aan MIM-tokens en een extra $ 3 miljoen aan gebruikersfondsen; Nereus Finance met bijna $ 60 miljoen aan NXUSD-tokens; en ongeveer $ 100K aan fondsen van SUSHI-leningen. Er is ook een onbekende impact met betrekking tot het Boba-netwerk.
Gezien de enorme hoeveelheid geld die veilig werd bewaard, gingen ontwikkelaars van de getroffen protocollen naar Twitter op zoek naar de anonieme tipgever die hun ontdekking naar ImmuneFi stuurde. Het begon met Matthew Lilley, kernontwikkelaar van SushiSwap, die over het onderwerp tweette en het onderzoek trending kreeg.
Kashi Markets op Avalanche werden gehackt na de ontdekking van een aanvalsvector die werd geïntroduceerd door de Native Asset Call-precompile op Avalanche. Sushi-team kon het rapport valideren, dat werd ingediend door een whitehacker op @immune, door een eenvoudige PoC te maken. 1/6
— Ik ben Software 🦇🔊 (@MatthewLilley) 8 september 2022
In de uren die volgden, begon een domino-effect van ontwikkelaars naar voren te komen en de kwetsbaarheid aan het licht te brengen en aan een onmiddellijke oplossing te werken.
1/🧙🏼♂️!
We zijn op de hoogte gesteld van een mogelijke kwetsbaarheid op onze Avalanche-ketels.
Er zijn geen gebruikersgelden verloren gegaan, de kwetsbaarheid is nu gepatcht en al het onderpand is veiliggesteld.
📖 Lees hier meer over onze lijkschouwing👇🏻https://t.co/2HSvPkugEs
— ️ (@MIM_Spell) 8 september 2022
Avalanche, Abracadabra en anderen komen naar voren met de nederige held
Het was pas vandaag toen Patrick O'Grady, hoofd engineering van Ava Labs, naar Twitter ging om zijn dank uit te spreken aan Statemind, dat later naar voren trad als het blockchain-beveiligingsbedrijf om de kwetsbaarheid op grote schaal te ontdekken.
@statemindio kwam naar voren als de anonieme whitehat die de betrokken teams tipte: https://t.co/MmG4hkkad7
Nogmaals bedankt voor al je werk om de community op de hoogte te stellen van het probleem!
— Patrick "The Kraan" O'Grady 🔺 (@_patrickogrady) 8 september 2022
Het officiële Abracadabra Twitter-account sprak ook hun diepe dank uit voor het vestigen van de aandacht op de kritieke kwetsbaarheid en voor het redden van de crypto-gemeenschap voor weer een ander horrorverhaal.
!
We willen het accountantskantoor van harte bedanken @statemindio voor het melden van de kwetsbaarheid die wordt genoemd in onze laatste aankondiging.
Dankzij hun rapport zijn we erin geslaagd om alle fondsen veilig te stellen en samen te werken met @AjaxVrouwen om de kwetsbaarheid te patchen!🔥
— ️ (@MIM_Spell) 8 september 2022
De kwetsbaarheden werden in recordtijd verholpen. Zowel Avalanche als Abracadabra hebben heeft een post mortem over de situatie gedeeld. Andere getroffen blockchains zullen waarschijnlijk volgen en transparantie bieden aan de gemeenschap in het algemeen.
Wie is het team achter de White Hat Heroics?
Wie is precies het team achter de ontdekking? We hadden contact met een blogger die ook met het bedrijf samenwerkt om meer te weten te komen.
Ik ken de anonieme hackers die de exploit hebben bekendgemaakt aan @AjaxVrouwen @ME_Spell & @BuienRadarNL
besparing van $ 3 miljoen aan gebruikersfondsen en 300 miljoen $MIJ penningen
als je een cryptojournalist bent die op zoek is naar opmerkingen/exclusieve details van het team dat de exploit heeft gevonden, laat het me dan weten 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) 8 september 2022
Blockchain-beveiligingscontrolebedrijf Statemind heeft de code van tien top blockchain-protocollen beoordeeld op zoek naar aangepaste precompilaties die mogelijk gevaarlijk kunnen zijn. Ervaringen uit het verleden, zo legde het blockchain-auditbureau uit, hebben aangetoond dat aangepaste precompilaties in de juiste omgeving steeds gevaarlijker kunnen worden.
Volgens het onderzoek hadden Avalanche en anderen een precompilatie "waarmee willekeurige oproepen konden worden gerouteerd via de precompilatie die msg.sender doorstuurde." Voor sommige protocollen betekende dat dat iedereen kon bellen namens het contract van het protocol.
Statemind.io is een toonaangevend blockchain-beveiligingsauditbedrijf met meer dan 100,000 LoC van Solidity en Vyper-ervaring. Deze uitgebreide ervaring heeft ertoe geleid dat meer dan $10 miljard aan TVL is beveiligd en dat het bedrijf op de 14e plaats is geplaatst in de Paradigm CTF 2022. Dankzij Statemind zijn alle "fondsen SAFU" en heeft de cryptocurrency-industrie een nieuwe witte hoed-held.
Bron: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/