Een beveiligingsonderzoeker ontdekte een softwarekwetsbaarheid die had kunnen worden misbruikt om maar liefst $200 miljoen te stelen van drie Ethereum-compatibele parachains op Polkadot: Moonbeam, Astar Network en Acala.
De onderzoeker, bekend als pwning.eth, vond en rapporteerde de kritieke kwetsbaarheid in juni, toen het programma werd ingediend, in een software genaamd Frontier die wordt gebruikt voor het "verpakken" van native tokens op de drie blockchain-projecten (of parachains) op de Polkadot netwerk. Het rapport werd op 27 juni ingediend op het crypto-gerichte bug-jachtplatform Immunefi, maar werd pas onlangs bekendgemaakt.
"Pwning.eth vond een bug die het hele Polkadot-ecosysteem beïnvloedde en hackers in staat stelde om meer dan $ 200 miljoen te stelen via Moonbeam, Astar Network en Acala", vertelde een vertegenwoordiger van Immunefi aan The Block. "Ze waren allemaal kwetsbaar voor een bug die kwaadwillende gebruikers in staat had kunnen stellen om native tokens te minten."
In dit geval is wrappen het proces waarbij de native crypto-activa van blockchains worden omgezet in tokens die gemakkelijker kunnen worden ondersteund door apps. Het wordt gedaan met behulp van een slim contract, dat de native tokens in bewaring houdt en de ingepakte tokens aan de gebruiker uitgeeft.
De kwetsbaarheid op de drie ketens zou kunnen zijn misbruikt om onbeperkte ingepakte tokens te slaan, waaronder ingepakte astar (WASTR) op Astar, ingepakte moonbeam (WGLMR) op Moonbeam en ingepakte moonriver (WMOVR) op Moonriver, een zusternetwerk van Moonbeam.
De geschatte waarde van activa die aan de kwetsbaarheid zijn blootgesteld, was ongeveer $ 200 miljoen voor de drie parachains, zei Immunefi. Nadat de kwetsbaarheid was gemeld, werkten de drie parachain-teams eraan om het te repareren en brachten ze een noodpatch uit voordat kwaadwillende actoren het konden misbruiken. Er zijn geen fondsen verloren gegaan.
Moonbeam en Astar, die actieve bug-bounty-programma's hebben met Immunefi, hebben via Immunefi $ 1 miljoen aan de ethische hacker toegekend. Parity, ontwikkelaar van de Frontier Library, besloot om $ 250,000 bij te dragen aan de beloning van $ 1 miljoen, ondanks het feit dat er geen bug bounty was met Immunefi.
Pwning.eth is geen onbekende in het vinden van kritieke bugs en het ontvangen van grote bedragen. Begin 2022 werd de white-hat hacker beloond met een $ 6 miljoen premie na het ontdekken van een kwetsbaarheid in Aurora, een EVM-compatibele blockchain voor NEAR Protocol, waarmee destijds ongeveer 70,000 ETH ter waarde van $ 210 miljoen werd bespaard.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss