Kritikus sebezhetőséget fedezett fel a Polkadoton, 1 millió dollárt kapott érte

2023-01-07 10:172023-01-06 19:19 ₿Ξ₿Ξ 314 Megtekintés fehér kalapos

Kritikus sebezhetőséget fedeztek fel a Polkadot paraláncain, 200 millió dollár volt veszélyben. A hibákat kijavították, az azt felfedező etikus hacker pedig egymillió dollárral lett gazdagabb. Ráadásul ez még messze nem is a legnagyobb fogása volt.

Egy blokkláncbiztonsággal foglalkozó szakember felfedezett egy sebezhető pontot, amely miatt a Polkadot-hálózat három Ethereum-kompatibilis parachain-jéről (egyfajta alblokkláncáról) akár 200 millió dollárt is ellophattak volna. A sebezhetőséget még júniusban találták a Frontierben, a Polkadot-hálózatnak a Moonbeam, Astar Network és Acala blokkláncprojektek natív tokenjeinek “becsomagolására” használt szoftverben. De a jelentés csak nemrég került nyilvánosságra.

A hacker egymillió dolláros találata

A három paralánc mögött álló csapatok kiadtak egy sürgősségi javítást, mielőtt rosszindulatú szereplők kihasználhatták volna a hibát, így nem veszett el pénzeszköz. A Moonbeam és az Astar az ezzel foglalkozó Immunefi-n keresztül egymillió dolláros fejpénzt ítélt meg a pwning.eth cím mögött rejtőző szakembernek. A Parity pedig 250 000 dollárral járult hozzá a jutalomhoz.

A pwning.eth korábban már kapott jutalmat kritikus hibák megtalálásáért, többek között egy hatmillió dolláros fejpénzt 2022 elején az Aurora, egy másik EVM (Ethereum Virtual Machine) kompatibilis blokklánc sebezhetőségének felfedezéséért.

Mit jelent a csomagolás?

Az Immunefi a The Blocknak nyilatkozó képviselője szerint a pwning.eth olyan hibát fedezett fel, amely jelentős hatással lehetett volna a teljes Polkadot ökoszisztémára. Potenciálisan lehetővé tette volna a hackerek számára, hogy több mint 200 millió dollárt lopjanak el az említett három hálózaton. Mindhárom sebezhető volt, a hiba lehetővé tette volna a rosszindulatú felhasználók számára, hogy becsomagolt natív tokeneket hozzanak lére (“érméket verjenek”).

A kriptóban a “csomagolás” azt a folyamatot jelenti, amikor egy blokklánc natív kriptoeszközeit olyan tokenekké alakítják át, amelyeket az alkalmazások könnyebben tudnak támogatni. Ez jellemzően egy okosszerződés segítségével történik. Ez a natív tokeneket letétbe helyezi, és a becsomagolt tokeneket adja át a felhasználónak.

Több blokkláncon is csomagolnak

A becsomagolt tokenek lényegében a natív tokenek reprezentációi. De könnyebben lehet kereskedni velük, és használhatók más platformokon is, amelyek nem támogatják natívan az eredeti eszközt. (Tipikus példája ennek a “wrapped bitcoin” vagy wBTC, amely több blokkláncon is lehetővé teszi a becsomagolt bitcoin kereskedését – a szerk.)

A tokenek becsomagolása hasznos lehet, de ez további kockázatokat is jelent, például az okosszerződések sebezhetősége miatt. (Tavaly számos nagy hackelési eset ilyen becsomagolt érmékre irányult, illetve az ezeket blokkláncokon át kezelő bridge-ekre, hidakra.)

A hacker megmentett 70 ezer ethert

A Pwning.eth mögött álló “fehérkalapos” (white-hat, jóindulatú, a hibákat feltáró) hacker 2022 elején azért kapott hatmillió dolláros fejpénzt, mert az Aurora blokklánc NEAR protokollban lévő sebezhetőségének felfedezésével körülbelül 70 ezer ethert mentett meg. Akkoriban ez 210 millió dollárt ért.