Exploits ont régulièrement tourmenté l'industrie de la blockchain et les protocoles DeFi comme jamais auparavant. Presque chaque jour qui passe, il y a une autre histoire d'horreur d'un protocole bien connu vidé de ses fonds par des pirates informatiques grâce à un exploit qui aurait pu être détecté à l'avance. Pire encore, l'impact que les nouvelles peuvent avoir sur la communauté de la crypto-monnaie impactée, qui peut perdre de la valeur et perdre un soutien précieux.
C'est exactement pourquoi une vulnérabilité critique et un pronostiqueur anonyme ont récemment captivé la communauté cryptographique et conduit à une vaste enquête publique sur Twitter entre les meilleurs développeurs de blockchain. Mais qui était exactement derrière la découverte qui a sauvé l'industrie de la crypto-monnaie d'une valeur combinée de plus de 650 millions de dollars ?
Voici les détails de l'incident et comment il s'est transformé en une recherche généralisée de la société d'audit de sécurité blockchain derrière la découverte. Nous révélerons également exactement qui sont les héros.
Pourquoi Crypto Twitter a lancé une enquête sur un pronostiqueur anonyme
Les technologies émergentes sont soumises à des tests de résistance rigoureux utilisant le public comme bêta-testeurs. Bien que le plus souvent l'équipe de développement ait les intentions les plus pures, même la plus petite vulnérabilité peut être exploitée afin que rien ne soit laissé au hasard lorsqu'il s'agit de code propre et sécurisé.
Pourtant, il est impossible de lire les gros titres des médias cryptographiques sans tomber sur histoire après histoire de millions de dollars perdus en quelques instants. Les projets touchés peuvent avoir du mal à se rétablir et la communauté en souffre. Les développeurs sont généralement obligés de livrer les mauvaises nouvelles à la communauté sur ce qui s'est exactement passé et pourquoi, puis reçoivent à contrecœur le contrecoup et les retombées.
Mais un exemple récent qui était à la mode sur Twitter était l'une des rares fins heureuses qui a conquis le cœur de la communauté crypto. Un pronostiqueur anonyme a sauvé plusieurs protocoles de cryptage de premier plan – tels qu'Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) et d'autres – jusqu'à un demi-milliard de dollars en valeur.
La découverte de White Hat permet d'économiser plus de 650 millions de dollars en crypto-monnaie
Les dommages estimés et les victimes potentielles incluent Avalanche à environ 350 millions de dollars; Abracadabra à environ 300 millions de dollars de jetons MIM et 3 millions de dollars supplémentaires en fonds d'utilisateurs ; Nereus Finance avec près de 60 millions de dollars en jetons NXUSD ; et environ 100 XNUMX $ de fonds provenant des prêts SUSHI. Il existe également un impact inconnu lié au réseau Boba.
Compte tenu de l'énorme quantité de fonds conservés en sécurité, les développeurs des protocoles concernés se sont rendus sur Twitter à la recherche du pronostiqueur anonyme qui a envoyé leur découverte à ImmuneFi. Cela a commencé avec Matthew Lilley, développeur principal de SushiSwap, qui a tweeté sur le sujet et a mis l'enquête sur les tendances.
Les marchés de Kashi sur Avalanche ont été blanchis suite à la découverte d'un vecteur d'attaque introduit par la précompilation Native Asset Call sur Avalanche. L'équipe de Sushi a pu valider le rapport, qui a été soumis par un whitehacker sur @immunefi, en créant un simple PoC. 1/6
- Je suis un logiciel 🦇🔊 (@MatthewLilley) 8 septembre 2022
Dans les heures qui ont suivi, un effet domino de développeurs a commencé à se manifester et à révéler la vulnérabilité et à travailler sur un correctif immédiat.
1 / 🧙🏼♂️ !
Nous avons été informés d'une vulnérabilité possible sur nos chaudrons Avalanche.
Aucun fonds d'utilisateur n'a été perdu, la vulnérabilité est maintenant corrigée et toutes les garanties ont été sécurisées.
📖 En savoir plus sur notre post mortem ici👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) 8 septembre 2022
Avalanche, Abracadabra et d'autres se présentent avec l'humble héros
Ce n'est qu'aujourd'hui que le responsable de l'ingénierie d'Ava Labs, Patrick O'Grady, s'est adressé à Twitter pour exprimer ses remerciements à Statemind, qui s'est ensuite présenté en tant que société de sécurité blockchain pour découvrir largement la vulnérabilité.
👀👀@statemindio s'est présenté comme le whitehat anonyme qui a averti les équipes impliquées: https://t.co/MmG4hkkad7
Merci encore pour tout votre travail pour alerter la communauté du problème ! 🫡
— Patrick "Le robinet" O'Grady 🔺 (@_patrickogrady) 8 septembre 2022
Le compte Twitter officiel d'Abracadabra a également exprimé ses profonds remerciements pour avoir attiré l'attention sur la vulnérabilité critique et sauvé la communauté crypto pour une autre histoire d'horreur.
!
Nous tenons à remercier chaleureusement le cabinet d'audit @statemindio pour avoir signalé la vulnérabilité mentionnée dans notre dernière annonce. 🔮
Grâce à leur rapport, nous avons réussi à sécuriser tous les fonds et à travailler avec @avalancheavax pour patcher la vulnérabilité !🔥
— 🧙🏼♂️ (@MIM_Spell) 8 septembre 2022
Les vulnérabilités ont été corrigées en un temps record. Avalanche et Abracadabra ont toutes deux partagé un post mortem sur la situation. D'autres blockchains concernées suivront probablement et offriront de la transparence à la communauté dans son ensemble.
Qui est l'équipe derrière The White Hat Heroics ?
Qui est exactement l'équipe derrière la découverte? Nous avons été en contact avec un blogueur qui travaille également avec l'entreprise pour en savoir plus.
Je connais les pirates anonymes qui ont révélé l'exploit à @avalancheavax @MIM_Spell & @SushiSwap
économiser 3 millions de dollars en fonds d'utilisateurs et 300 millions $ME tokens
si vous êtes un journaliste crypto à la recherche de commentaires / détails exclusifs de l'équipe qui a trouvé l'exploit, faites-le moi savoir 🙂 https://t.co/3B8axWjYqS
– notEezzy 🧸 (@notEezzy) 8 septembre 2022
La société d'audit de sécurité Blockchain Statemind a examiné le code des dix principaux protocoles blockchain à la recherche de précompilations personnalisées qui pourraient être potentiellement dangereuses. Les expériences passées, a expliqué le cabinet d'audit blockchain, ont montré que les précompilations personnalisées peuvent être de plus en plus dangereuses dans le bon environnement.
Selon la recherche, Avalanche et d'autres avaient une précompilation "qui permettait aux appels arbitraires d'être acheminés via la précompilation qui relai msg.sender". Pour certains protocoles, cela signifiait que n'importe qui pouvait passer des appels au nom du contrat du protocole.
Statemind.io est une société leader d'audit de sécurité blockchain avec plus de 100,000 10 LoC d'expérience Solidity et Vyper. Cette vaste expérience a permis de sécuriser plus de 14 milliards de dollars en TVL et la société s'est classée 2022e dans le Paradigm CTF XNUMX. Grâce à Statemind, tous les «fonds sont SAFU» et l'industrie de la crypto-monnaie a un nouveau héros chapeau blanc.
Source : https://bitcoinist.com/statemind-avalanche-crypto-white-hat/