Statemind بهمن و دیگران را نیم میلیارد در کریپتو نجات می دهد

سوء استفاده به طور مرتب صنعت بلاک چین و پروتکل‌های DeFi را مانند قبل آزار می‌دهند. تقریباً هر روز که می گذرد، داستان وحشتناک دیگری از یک پروتکل معروف وجود دارد که توسط هکرها از طریق سوء استفاده ای که می توانست از قبل دستگیر شده باشد، از منابع مالی تخلیه می شود. حتی بدتر از این، تأثیری است که اخبار می‌تواند بر جامعه ارز دیجیتال تحت تأثیر بگذارد، که می‌تواند ارزش آن کاهش یابد و پشتیبانی ارزشمند خود را از دست بدهد. 

دقیقاً به همین دلیل است که اخیراً یک آسیب‌پذیری مهم و یک افشاگر کلاه سفید ناشناس جامعه ارزهای دیجیتال را مجذوب خود کرده است و منجر به تحقیقات عمومی گسترده در توییتر بین توسعه‌دهندگان برتر بلاک چین شده است. اما دقیقاً چه کسی پشت کشفی بود که در مجموع بیش از 650 میلیون دلار ارزش صنعت ارزهای دیجیتال را نجات داد؟ 

در اینجا جزئیات این حادثه و چگونگی تبدیل آن به جستجوی گسترده برای شرکت حسابرسی امنیت بلاک چین در پشت این کشف است. ما همچنین نشان خواهیم داد که قهرمانان دقیقا چه کسانی هستند. 

چرا توییتر کریپتو تحقیقی را در مورد یک افشاگر ناشناس آغاز کرد؟

فناوری‌های نوظهور از طریق تست‌های استرس سخت با استفاده از عموم مردم به‌عنوان آزمایش‌کننده بتا انجام می‌شوند. اگرچه اغلب تیم توسعه خالص‌ترین اهداف را دارد، حتی از کوچک‌ترین آسیب‌پذیری‌ها نیز می‌توان مورد سوء استفاده قرار داد، بنابراین در مورد کدهای پاک و ایمن نمی‌توان هیچ مشکلی را کنار گذاشت. 

با این حال، خواندن سرفصل‌های رسانه‌های رمزنگاری بدون تصادف به داستان‌های میلیون‌ها دلار در چند لحظه غیرممکن است. پروژه های تحت تأثیر ممکن است برای بازیابی مشکل داشته باشند و جامعه در نتیجه آسیب می بیند. توسعه‌دهندگان معمولاً در ارائه اخبار بد به جامعه در مورد اینکه دقیقاً چه اتفاقی افتاده و چرا گیر می‌کنند و سپس با اکراه واکنش‌ها و پیامدها را دریافت می‌کنند. 

اما نمونه‌ای که اخیراً در توییتر پرطرفدار بود، یکی از پایان‌های خوش نادری بود که قلب جامعه ارزهای دیجیتال را تسخیر کرد. یک افشاگر ناشناس چندین پروتکل رمزنگاری برتر - مانند Avalanche (AVAX)، Abracadabra (MIM)، SushiSwap (SUSHI) و موارد دیگر - را تا نیم میلیارد دلار در ارزش ذخیره کرد.  

کشف کلاه سفید منجر به صرفه جویی بیش از 650 میلیون دلار در ارز دیجیتال شد 

خسارات تخمینی و قربانیان احتمالی شامل بهمن تقریباً 350 میلیون دلار است. Abracadabra با حدود 300 میلیون دلار توکن MIM و 3 میلیون دلار اضافی در وجوه کاربر. Nereus Finance با نزدیک به 60 میلیون دلار توکن NXUSD. و تقریباً 100 هزار دلار وجوه حاصل از وام SUSHI. همچنین یک تأثیر ناشناخته مربوط به شبکه بوبا وجود دارد. 

با توجه به حجم عظیمی از وجوه ایمن نگه داشته شده، توسعه دهندگان پروتکل های آسیب دیده در جستجوی اطلاعات ناشناس که کشف خود را به ImmuneFi ارسال کرده بود، به توییتر رفتند. این کار با متیو لیلی، توسعه دهنده اصلی SushiSwap آغاز شد، که در مورد این موضوع توییت کرد و روند تحقیقات را به خود جلب کرد. 

بازارهای Kashi در Avalanche پس از کشف یک بردار حمله معرفی شده توسط پیش کامپایل Native Asset Call در Avalanche هک شدند. تیم سوشی توانست گزارشی را که توسط یک وایت هکر ارسال شده بود تایید کند immunefi، با ساخت یک PoC ساده. 1/6

- من نرم افزار هستم 🦇🔊 (@MatthewLilley) سپتامبر 8، 2022

در ساعت‌های بعد، دومینویی از توسعه‌دهندگان شروع به ظهور کرد و آسیب‌پذیری را آشکار کرد و کار بر روی رفع فوری آن را آغاز کرد.

1/🧙🏼‍♂️!

ما از یک آسیب پذیری احتمالی در دیگ های بهمنی خود مطلع شده ایم.

هیچ وجهی از کاربر از بین نرفته است، آسیب پذیری اکنون اصلاح شده است و تمام وثیقه ها ایمن شده است.

📖 اطلاعات بیشتر در مورد پست مورتم ما را اینجا بخوانید👇🏻https://t.co/2HSvPkugEs

— 🧙🏼‍♂️ (@MIM_Spell) سپتامبر 8، 2022

بهمن، آبراکادابرا، و دیگران با قهرمان فروتن به جلو می آیند

همین امروز بود که پاتریک اوگریدی، رئیس مهندسی آزمایشگاه آوا در توییتر از Statemind تشکر کرد، که بعداً به عنوان شرکت امنیتی بلاک چین برای کشف این آسیب‌پذیری به طور گسترده پیش قدم شد. 

👀👀@statemindio به‌عنوان کلاه سفید ناشناس که به تیم‌های درگیر خبر داد، ظاهر شد: https://t.co/MmG4hkkad7

باز هم از همه تلاش شما برای آگاه کردن جامعه از این موضوع سپاسگزاریم! 🫡

- پاتریک "شیر آب" اوگریدی 🔺 (@_patrickogrady) سپتامبر 8، 2022

حساب رسمی توییتر Abracadabra همچنین تشکر عمیق خود را برای جلب توجه به آسیب‌پذیری حیاتی و نجات جامعه کریپتو برای یک داستان وحشتناک دیگر ابراز کرد. 

🧙🏼‍♂️!

مایلیم عمیقا از موسسه حسابرسی تشکر کنیم @statemindio برای گزارش آسیب پذیری ذکر شده در آخرین اطلاعیه ما. 🔮

با تشکر از گزارش آنها، ما موفق شده ایم تمام بودجه را تامین کنیم و با آنها همکاری کنیم avalancheavax برای وصله آسیب پذیری!🔥

— 🧙🏼‍♂️ (@MIM_Spell) سپتامبر 8، 2022

این آسیب‌پذیری‌ها در زمان بی‌سابقه رفع شدند. هر دو بهمن و آبراکادابرا دارند یک پست مرگ در مورد وضعیت را به اشتراک گذاشت. سایر بلاک چین‌های آسیب‌دیده احتمالاً دنبال می‌شوند و شفافیت را برای جامعه به طور کلی فراهم می‌کنند. 

تیم پشت قهرمانان کلاه سفید کیست؟

دقیقاً تیم پشت این کشف کیست؟ ما با یک وبلاگ نویس که او نیز با این شرکت کار می کند برای کسب اطلاعات بیشتر در تماس بودیم. 

من هکرهای ناشناس را می شناسم که این اکسپلویت را برایشان فاش کردند avalancheavax MIM_Spell & SushiSwap

صرفه جویی 3 میلیون دلاری در منابع مالی کاربر و 300 میلیون دلار $MIM نشانه

اگر یک روزنامه نگار رمزنگاری هستید که به دنبال نظرات/جزئیات انحصاری تیمی هستید که این اکسپلویت را پیدا کرده است، به من اطلاع دهید 🙂 https://t.co/3B8axWjYqS

— notEezzy 🧸 (@notEezzy) سپتامبر 8، 2022

شرکت حسابرسی امنیت بلاک چین Statemind کد ده پروتکل برتر بلاک چین را در جستجوی پیش‌کامپایل‌های سفارشی که می‌توانند بالقوه خطرناک باشند، بررسی کرد. شرکت حسابرسی بلاک چین توضیح داد که تجربیات گذشته نشان داده است که پیش‌کامپایل‌های سفارشی می‌توانند در محیط مناسب به طور فزاینده‌ای خطرناک باشند. 

طبق این تحقیق، Avalanche و دیگران یک پیش کامپایل داشتند «که اجازه می داد تا تماس های دلخواه از طریق پیش کامپایل که msg.sender را ارسال می کند، هدایت شوند. برای برخی از پروتکل ها، این بدان معناست که هر کسی می تواند از طرف قرارداد پروتکل تماس بگیرد. 

Statemind.io یک شرکت پیشرو در ممیزی امنیت بلاک چین با بیش از 100,000 LoC تجربه Solidity و Vyper است. این تجربه گسترده منجر به تضمین بیش از 10 میلیارد دلار در TVL شده است و این شرکت در رده چهاردهم CTF 14 پارادایم قرار می گیرد. به لطف Statemind، همه "سرمایه ها SAFU هستند" و صنعت ارزهای دیجیتال یک قهرمان کلاه سفید جدید دارد.