Exploits haben die Blockchain-Industrie und die DeFi-Protokolle regelmäßig wie nie zuvor geplagt. Fast jeden Tag gibt es eine weitere Horrorgeschichte über ein bekanntes Protokoll, dem Hacker durch einen Exploit, der im Voraus hätte entdeckt werden können, Geld entzogen haben. Noch schlimmer sind die Auswirkungen, die die Nachricht auf die Community der betroffenen Kryptowährung haben kann, die an Wert verlieren und wertvolle Unterstützung verlieren kann.
Genau aus diesem Grund haben kürzlich eine kritische Schwachstelle und ein anonymer White-Hat-Tippgeber die Krypto-Community in ihren Bann gezogen und zu einer weit verbreiteten öffentlichen Untersuchung auf Twitter zwischen führenden Blockchain-Entwicklern geführt. Aber wer genau steckte hinter der Entdeckung, die der Kryptowährungsindustrie einen Gesamtwert von mehr als 650 Millionen Dollar einsparte?
Hier sind die Details des Vorfalls und wie er zu einer weit verbreiteten Suche nach der Blockchain-Sicherheitsprüfungsfirma hinter der Entdeckung führte. Wir verraten auch genau, wer die Helden sind.
Warum Crypto Twitter eine Untersuchung gegen einen anonymen Tippgeber einleitete
Neue Technologien werden rigorosen Stresstests unterzogen, wobei die Öffentlichkeit als Betatester dient. Obwohl das Entwicklungsteam meistens die reinsten Absichten hat, kann selbst die kleinste Schwachstelle ausgenutzt werden, sodass nichts unversucht gelassen werden kann, wenn es um sauberen und sicheren Code geht.
Dennoch ist es unmöglich, die Schlagzeilen der Krypto-Medien zu lesen, ohne auf eine Geschichte nach der anderen zu stoßen, in der Millionen von Dollar in wenigen Augenblicken verloren wurden. Betroffene Projekte können Schwierigkeiten haben, sich zu erholen, und die Gemeinschaft leidet darunter. Entwickler stecken normalerweise fest, um der Community die schlechten Nachrichten darüber zu übermitteln, was genau passiert ist und warum, und dann widerwillig die Gegenreaktion und die Folgen zu erhalten.
Aber ein aktuelles Beispiel, das auf Twitter im Trend war, war eines der seltenen Happy Ends, das das Herz der Krypto-Community erobert hat. Ein anonymer Tippgeber hat mehrere Top-Kryptoprotokolle – wie Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) und andere – im Wert von bis zu einer halben Milliarde Dollar gerettet.
Die Entdeckung von White Hat führt zu einer Einsparung von mehr als 650 Millionen US-Dollar an Kryptowährung
Zu den geschätzten Schäden und potenziellen Opfern gehören Avalanche mit etwa 350 Millionen US-Dollar; Abracadabra im Wert von rund 300 Millionen US-Dollar an MIM-Token und zusätzlichen 3 Millionen US-Dollar an Benutzergeldern; Nereus Finance mit fast 60 Mio. $ in NXUSD-Token; und rund 100 USD an Geldern aus der SUSHI-Verleihung. Es gibt auch eine unbekannte Auswirkung im Zusammenhang mit dem Boba-Netzwerk.
Angesichts der enormen Menge an sicher verwahrten Geldern suchten die Entwickler der betroffenen Protokolle auf Twitter nach dem anonymen Tippgeber, der ihre Entdeckung an ImmuneFi gesendet hatte. Es begann mit SushiSwap-Core-Entwickler Matthew Lilley, der über das Thema twitterte und die Untersuchung zum Trend machte.
Kashi-Märkte auf Avalanche wurden nach der Entdeckung eines Angriffsvektors, der durch die Vorkompilierung von Native Asset Call auf Avalanche eingeführt wurde, einem Whitehacking unterzogen. Das Sushi-Team konnte den Bericht, der von einem Whitehacker eingereicht wurde, validieren @immunfi, indem Sie einen einfachen PoC erstellen. 1/6
— Ich bin Software 🦇🔊 (@MatthewLilley) 8. September 2022
In den folgenden Stunden begann ein Dominoeffekt von Entwicklern, sich zu melden und die Schwachstelle aufzudecken und an einer sofortigen Behebung zu arbeiten.
1 / 🧙🏼♂️!
Wir wurden über eine mögliche Sicherheitslücke in unseren Avalanche Cauldrons informiert.
Es sind keine Benutzergelder verloren gegangen, die Schwachstelle ist jetzt gepatcht und alle Sicherheiten wurden gesichert.
📖 Lesen Sie hier mehr über unsere Obduktion👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) 8. September 2022
Lawine, Abrakadabra und andere kommen mit dem bescheidenen Helden nach vorne
Erst heute ging Patrick O’Grady, Head of Engineering bei Ava Labs, auf Twitter, um Statemind seinen Dank auszudrücken, das später als Blockchain-Sicherheitsfirma hervortrat, um die Schwachstelle umfassend zu entdecken.
👀👀@statemindio meldete sich als anonymer Whitehat, der den beteiligten Teams einen Tipp gab: https://t.co/MmG4hkkad7
Nochmals vielen Dank für all Ihre Arbeit, um die Community auf das Problem aufmerksam zu machen! 🫡
– Patrick „The Faucet“ O’Grady 🔺 (@_patrickogrady) 8. September 2022
Der offizielle Twitter-Account von Abracadabra drückte auch seinen tiefen Dank dafür aus, dass er auf die kritische Schwachstelle aufmerksam gemacht und die Krypto-Community vor einer weiteren Horrorgeschichte bewahrt hat.
🧙🏼♂️!
Wir danken der Wirtschaftsprüfungsgesellschaft ganz herzlich @statemindio für das Melden der in unserer neuesten Ankündigung erwähnten Schwachstelle. 🔮
Dank ihres Berichts ist es uns gelungen, alle Gelder zu sichern und mit ihnen zusammenzuarbeiten @avalancheavax um die Schwachstelle zu patchen!🔥
— 🧙🏼♂️ (@MIM_Spell) 8. September 2022
Die Schwachstellen wurden in Rekordzeit behoben. Sowohl Avalanche als auch Abracadabra haben teilte ein Post-Mortem über die Situation. Andere betroffene Blockchains werden wahrscheinlich folgen und der gesamten Community Transparenz verschaffen.
Wer ist das Team hinter The White Hat Heroics?
Wer genau ist das Team hinter der Entdeckung? Wir haben uns mit einem Blogger in Verbindung gesetzt, der auch mit dem Unternehmen zusammenarbeitet, um mehr zu erfahren.
Ich kenne die anonymen Hacker, denen der Exploit offengelegt wurde @avalancheavax @MIM_Spell & @ SushiSwap
Einsparung von 3 Millionen US-Dollar an Benutzergeldern und 300 Millionen $ME Token
Wenn Sie ein Krypto-Journalist sind, der nach Kommentaren/exklusiven Details von dem Team sucht, das den Exploit gefunden hat, lassen Sie es mich wissen 🙂 https://t.co/3B8axWjYqS
– notEezzy 🧸 (@notEezzy) 8. September 2022
Die Blockchain-Sicherheitsprüfungsfirma Statemind überprüfte den Code von zehn führenden Blockchain-Protokollen auf der Suche nach benutzerdefinierten Vorkompilierungen, die potenziell gefährlich sein könnten. Erfahrungen aus der Vergangenheit, erklärte die Blockchain-Prüfungsgesellschaft, hätten gezeigt, dass benutzerdefinierte Vorkompilierungen in der richtigen Umgebung zunehmend gefährlich werden können.
Laut der Recherche hatten Avalanche und andere eine Vorkompilierung, „die es ermöglichte, beliebige Anrufe durch die Vorkompilierung zu leiten, die msg.sender weiterleitet“. Für einige Protokolle bedeutete dies, dass jeder im Namen des Protokollvertrags Anrufe tätigen konnte.
Statemind.io ist ein führendes Blockchain-Sicherheitsprüfungsunternehmen mit über 100,000 LoC of Solidity- und Vyper-Erfahrung. Diese umfangreiche Erfahrung hat dazu geführt, dass TVL mehr als 10 Milliarden US-Dollar gesichert und das Unternehmen im Paradigm CTF 14 auf Platz 2022 platziert wurde. Dank Statemind sind alle „Fonds SAFU“, und die Kryptowährungsbranche hat einen neuen White-Hat-Helden.
Quelle: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/