سوء استفاده به طور مرتب صنعت بلاک چین و پروتکلهای DeFi را مانند قبل آزار میدهند. تقریباً هر روز که می گذرد، داستان وحشتناک دیگری از یک پروتکل معروف وجود دارد که توسط هکرها از طریق سوء استفاده ای که می توانست از قبل دستگیر شده باشد، از منابع مالی تخلیه می شود. حتی بدتر از این، تأثیری است که اخبار میتواند بر جامعه ارز دیجیتال تحت تأثیر بگذارد، که میتواند ارزش آن کاهش یابد و پشتیبانی ارزشمند خود را از دست بدهد.
دقیقاً به همین دلیل است که اخیراً یک آسیبپذیری مهم و یک افشاگر کلاه سفید ناشناس جامعه ارزهای دیجیتال را مجذوب خود کرده است و منجر به تحقیقات عمومی گسترده در توییتر بین توسعهدهندگان برتر بلاک چین شده است. اما دقیقاً چه کسی پشت کشفی بود که در مجموع بیش از 650 میلیون دلار ارزش صنعت ارزهای دیجیتال را نجات داد؟
در اینجا جزئیات این حادثه و چگونگی تبدیل آن به جستجوی گسترده برای شرکت حسابرسی امنیت بلاک چین در پشت این کشف است. ما همچنین نشان خواهیم داد که قهرمانان دقیقا چه کسانی هستند.
چرا توییتر کریپتو تحقیقی را در مورد یک افشاگر ناشناس آغاز کرد؟
فناوریهای نوظهور از طریق تستهای استرس سخت با استفاده از عموم مردم بهعنوان آزمایشکننده بتا انجام میشوند. اگرچه اغلب تیم توسعه خالصترین اهداف را دارد، حتی از کوچکترین آسیبپذیریها نیز میتوان مورد سوء استفاده قرار داد، بنابراین در مورد کدهای پاک و ایمن نمیتوان هیچ مشکلی را کنار گذاشت.
با این حال، خواندن سرفصلهای رسانههای رمزنگاری بدون تصادف به داستانهای میلیونها دلار در چند لحظه غیرممکن است. پروژه های تحت تأثیر ممکن است برای بازیابی مشکل داشته باشند و جامعه در نتیجه آسیب می بیند. توسعهدهندگان معمولاً در ارائه اخبار بد به جامعه در مورد اینکه دقیقاً چه اتفاقی افتاده و چرا گیر میکنند و سپس با اکراه واکنشها و پیامدها را دریافت میکنند.
اما نمونهای که اخیراً در توییتر پرطرفدار بود، یکی از پایانهای خوش نادری بود که قلب جامعه ارزهای دیجیتال را تسخیر کرد. یک افشاگر ناشناس چندین پروتکل رمزنگاری برتر - مانند Avalanche (AVAX)، Abracadabra (MIM)، SushiSwap (SUSHI) و موارد دیگر - را تا نیم میلیارد دلار در ارزش ذخیره کرد.
کشف کلاه سفید منجر به صرفه جویی بیش از 650 میلیون دلار در ارز دیجیتال شد
خسارات تخمینی و قربانیان احتمالی شامل بهمن تقریباً 350 میلیون دلار است. Abracadabra با حدود 300 میلیون دلار توکن MIM و 3 میلیون دلار اضافی در وجوه کاربر. Nereus Finance با نزدیک به 60 میلیون دلار توکن NXUSD. و تقریباً 100 هزار دلار وجوه حاصل از وام SUSHI. همچنین یک تأثیر ناشناخته مربوط به شبکه بوبا وجود دارد.
با توجه به حجم عظیمی از وجوه ایمن نگه داشته شده، توسعه دهندگان پروتکل های آسیب دیده در جستجوی اطلاعات ناشناس که کشف خود را به ImmuneFi ارسال کرده بود، به توییتر رفتند. این کار با متیو لیلی، توسعه دهنده اصلی SushiSwap آغاز شد، که در مورد این موضوع توییت کرد و روند تحقیقات را به خود جلب کرد.
بازارهای Kashi در Avalanche پس از کشف یک بردار حمله معرفی شده توسط پیش کامپایل Native Asset Call در Avalanche هک شدند. تیم سوشی توانست گزارشی را که توسط یک وایت هکر ارسال شده بود تایید کند immunefi، با ساخت یک PoC ساده. 1/6
- من نرم افزار هستم 🦇🔊 (@MatthewLilley) سپتامبر 8، 2022
در ساعتهای بعد، دومینویی از توسعهدهندگان شروع به ظهور کرد و آسیبپذیری را آشکار کرد و کار بر روی رفع فوری آن را آغاز کرد.
1/🧙🏼♂️!
ما از یک آسیب پذیری احتمالی در دیگ های بهمنی خود مطلع شده ایم.
هیچ وجهی از کاربر از بین نرفته است، آسیب پذیری اکنون اصلاح شده است و تمام وثیقه ها ایمن شده است.
📖 اطلاعات بیشتر در مورد پست مورتم ما را اینجا بخوانید👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) سپتامبر 8، 2022
بهمن، آبراکادابرا، و دیگران با قهرمان فروتن به جلو می آیند
همین امروز بود که پاتریک اوگریدی، رئیس مهندسی آزمایشگاه آوا در توییتر از Statemind تشکر کرد، که بعداً به عنوان شرکت امنیتی بلاک چین برای کشف این آسیبپذیری به طور گسترده پیش قدم شد.
👀👀@statemindio بهعنوان کلاه سفید ناشناس که به تیمهای درگیر خبر داد، ظاهر شد: https://t.co/MmG4hkkad7
باز هم از همه تلاش شما برای آگاه کردن جامعه از این موضوع سپاسگزاریم! 🫡
- پاتریک "شیر آب" اوگریدی 🔺 (@_patrickogrady) سپتامبر 8، 2022
حساب رسمی توییتر Abracadabra همچنین تشکر عمیق خود را برای جلب توجه به آسیبپذیری حیاتی و نجات جامعه کریپتو برای یک داستان وحشتناک دیگر ابراز کرد.
🧙🏼♂️!
مایلیم عمیقا از موسسه حسابرسی تشکر کنیم @statemindio برای گزارش آسیب پذیری ذکر شده در آخرین اطلاعیه ما. 🔮
با تشکر از گزارش آنها، ما موفق شده ایم تمام بودجه را تامین کنیم و با آنها همکاری کنیم avalancheavax برای وصله آسیب پذیری!🔥
— 🧙🏼♂️ (@MIM_Spell) سپتامبر 8، 2022
این آسیبپذیریها در زمان بیسابقه رفع شدند. هر دو بهمن و آبراکادابرا دارند یک پست مرگ در مورد وضعیت را به اشتراک گذاشت. سایر بلاک چینهای آسیبدیده احتمالاً دنبال میشوند و شفافیت را برای جامعه به طور کلی فراهم میکنند.
تیم پشت قهرمانان کلاه سفید کیست؟
دقیقاً تیم پشت این کشف کیست؟ ما با یک وبلاگ نویس که او نیز با این شرکت کار می کند برای کسب اطلاعات بیشتر در تماس بودیم.
من هکرهای ناشناس را می شناسم که این اکسپلویت را برایشان فاش کردند avalancheavax MIM_Spell & SushiSwap
صرفه جویی 3 میلیون دلاری در منابع مالی کاربر و 300 میلیون دلار $MIM نشانه
اگر یک روزنامه نگار رمزنگاری هستید که به دنبال نظرات/جزئیات انحصاری تیمی هستید که این اکسپلویت را پیدا کرده است، به من اطلاع دهید 🙂 https://t.co/3B8axWjYqS
— notEezzy 🧸 (@notEezzy) سپتامبر 8، 2022
شرکت حسابرسی امنیت بلاک چین Statemind کد ده پروتکل برتر بلاک چین را در جستجوی پیشکامپایلهای سفارشی که میتوانند بالقوه خطرناک باشند، بررسی کرد. شرکت حسابرسی بلاک چین توضیح داد که تجربیات گذشته نشان داده است که پیشکامپایلهای سفارشی میتوانند در محیط مناسب به طور فزایندهای خطرناک باشند.
طبق این تحقیق، Avalanche و دیگران یک پیش کامپایل داشتند «که اجازه می داد تا تماس های دلخواه از طریق پیش کامپایل که msg.sender را ارسال می کند، هدایت شوند. برای برخی از پروتکل ها، این بدان معناست که هر کسی می تواند از طرف قرارداد پروتکل تماس بگیرد.
Statemind.io یک شرکت پیشرو در ممیزی امنیت بلاک چین با بیش از 100,000 LoC تجربه Solidity و Vyper است. این تجربه گسترده منجر به تضمین بیش از 10 میلیارد دلار در TVL شده است و این شرکت در رده چهاردهم CTF 14 پارادایم قرار می گیرد. به لطف Statemind، همه "سرمایه ها SAFU هستند" و صنعت ارزهای دیجیتال یک قهرمان کلاه سفید جدید دارد.
منبع: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/