Un chercheur en sécurité a découvert une vulnérabilité logicielle qui aurait pu être exploitée pour voler jusqu'à 200 millions de dollars à trois parachains compatibles Ethereum sur Polkadot - Moonbeam, Astar Network et Acala.
Le chercheur, connu sous le nom de pwning.eth, a trouvé et signalé la vulnérabilité critique en juin, lors de la soumission du programme, dans un logiciel appelé Frontier qui est utilisé pour "envelopper" les jetons natifs sur les trois projets de blockchain (ou parachains) sur le Polkadot. réseau. Le rapport a été soumis sur la plate-forme de chasse aux bugs axée sur la cryptographie Immunefi le 27 juin, mais n'a été divulgué que récemment.
"Pwning.eth a trouvé un bogue qui a eu un impact sur l'ensemble de l'écosystème Polkadot et permettrait aux pirates de voler plus de 200 millions de dollars sur Moonbeam, Astar Network et Acala", a déclaré un représentant d'Immunefi à The Block. "Ils étaient tous vulnérables à un bogue qui aurait pu permettre à des utilisateurs malveillants de créer des jetons natifs enveloppés."
Dans ce cas, l'emballage est le processus de conversion des actifs cryptographiques natifs des blockchains en jetons qui peuvent être plus facilement pris en charge par les applications. Cela se fait à l'aide d'un contrat intelligent, qui détient les jetons natifs en dépôt fiduciaire et délivre les jetons enveloppés à l'utilisateur.
La vulnérabilité sur les trois chaînes aurait pu être exploitée pour créer un nombre illimité de jetons enveloppés, y compris l'astar enveloppé (WASTR) sur Astar, le moonbeam enveloppé (WGLMR) sur Moonbeam et le moonriver enveloppé (WMOVR) sur Moonriver, un réseau sœur de Moonbeam.
La valeur estimée des actifs exposés à la vulnérabilité était d'environ 200 millions de dollars sur les trois parachains, a déclaré Immunefi. Une fois la vulnérabilité signalée, les trois équipes de parachain ont travaillé pour la corriger et ont publié un correctif d'urgence avant que des acteurs malveillants ne puissent l'exploiter. Aucun fonds n'a été perdu.
Moonbeam et Astar, qui ont des programmes de primes de bugs actifs avec Immunefi, ont attribué 1 million de dollars au pirate éthique via Immunefi. Parity, développeur de la bibliothèque Frontier, a décidé de contribuer 250,000 1 $ à la récompense de XNUMX million de dollars, bien qu'il n'ait pas de prime de bogue avec Immunefi.
Pwning.eth n'est pas étranger à trouver des bogues critiques et à recevoir de grosses sommes. Début 2022, le hacker au chapeau blanc a été récompensé par un Prime de 6 millions de dollars après avoir découvert une vulnérabilité dans Aurora, une blockchain compatible EVM pour le protocole NEAR, économisant environ 70,000 210 ETH d'une valeur de XNUMX millions de dollars à l'époque.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss