Explorações têm assolado regularmente a indústria de blockchain e os protocolos DeFi como nunca antes. Quase a cada dia que passa, há outra história de horror de um protocolo bem conhecido sendo drenado de fundos por hackers por meio de uma exploração que poderia ter sido detectada com antecedência. Pior ainda é o impacto que as notícias podem ter na comunidade da criptomoeda impactada, que pode perder valor e perder suporte valioso.
É exatamente por isso que uma vulnerabilidade crítica e um informante de chapéu branco anônimo cativaram a comunidade de criptomoedas recentemente e levaram a uma ampla investigação pública no Twitter entre os principais desenvolvedores de blockchain. Mas quem exatamente estava por trás da descoberta que economizou ao setor de criptomoedas um valor combinado de mais de US$ 650 milhões?
Aqui estão os detalhes do incidente e como ele se transformou em uma busca generalizada pela empresa de auditoria de segurança blockchain por trás da descoberta. Também revelaremos exatamente quem são os heróis.
Por que o Crypto Twitter lançou uma investigação sobre um informante anônimo
As tecnologias emergentes são submetidas a rigorosos testes de estresse usando o público como testadores beta. Embora na maioria das vezes a equipe de desenvolvimento tenha as intenções mais puras, até mesmo a menor vulnerabilidade pode ser explorada para que nenhuma pedra seja deixada de lado quando se trata de código limpo e seguro.
No entanto, é impossível ler manchetes de mídia criptográfica sem tropeçar em histórias após histórias de milhões de dólares perdidos em questão de momentos. Os projetos afetados podem lutar para se recuperar, e a comunidade sofre como resultado. Os desenvolvedores geralmente ficam presos em entregar as más notícias à comunidade sobre o que exatamente aconteceu e por quê, e depois recebem relutantemente a reação e as consequências.
Mas um exemplo recente que foi tendência no Twitter foi um dos raros finais felizes que conquistou o coração da comunidade de criptomoedas. Um informante anônimo salvou vários dos principais protocolos de criptografia – como Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) e outros – até meio bilhão de dólares em valor.
Descoberta White Hat leva a mais de US $ 650 milhões em criptomoedas economizadas
Danos estimados e possíveis vítimas incluem Avalanche em aproximadamente US$ 350 milhões; Abracadabra com cerca de US$ 300 milhões em tokens MIM e mais US$ 3 milhões em fundos de usuários; Nereus Finance com quase US$ 60 milhões em tokens NXUSD; e cerca de US$ 100 mil em fundos de empréstimos do SUSHI. Há também um impacto desconhecido relacionado à Rede Boba.
Dada a enorme quantidade de fundos mantidos em segurança, os desenvolvedores dos protocolos afetados foram ao Twitter em busca do informante anônimo que enviou sua descoberta ao ImmuneFi. Tudo começou com o desenvolvedor principal do SushiSwap, Matthew Lilley, que twittou sobre o assunto e obteve a tendência da investigação.
Kashi Markets em Avalanche foi alvo de um whitehack após a descoberta de um vetor de ataque introduzido pela pré-compilação do Native Asset Call em Avalanche. A equipe de sushi conseguiu validar o relatório, que foi enviado por um whitehacker em @imunefi, criando um PoC simples. 1/6
— Sou Software 🦇🔊 (@MatthewLilley) 8 de Setembro de 2022
Nas horas seguintes, um efeito dominó de desenvolvedores começou a revelar a vulnerabilidade e trabalhar em uma correção imediata.
1/🧙🏼♂️!
Fomos notificados de uma possível vulnerabilidade em nossos caldeirões de Avalanche.
Nenhum fundo de usuário foi perdido, a vulnerabilidade agora foi corrigida e todas as garantias foram protegidas.
📖 Leia mais sobre nosso post mortem aqui👇🏻https://t.co/2HSvPkugEs
— 🧙🏼♂️ (@MIM_Spell) 8 de Setembro de 2022
Avalanche, Abracadabra e outros avançam com o herói humilde
Foi só hoje que o chefe de engenharia da Ava Labs, Patrick O'Grady, foi ao Twitter para agradecer à Statemind, que mais tarde se apresentou como a empresa de segurança blockchain para descobrir amplamente a vulnerabilidade.
👀👀@statemindio apresentou-se como o whitehat anônimo que avisou as equipes envolvidas: https://t.co/MmG4hkkad7
Obrigado novamente por todo o seu trabalho para alertar a comunidade sobre o problema! 🫡
— Patrick “The Faucet” O'Grady 🔺 (@_patrickogrady) 8 de Setembro de 2022
A conta oficial do Twitter da Abracadabra também expressou seus profundos agradecimentos por chamar a atenção para a vulnerabilidade crítica e salvar a comunidade de criptomoedas para mais uma história de terror.
🧙🏼♂️!
Gostaríamos de agradecer profundamente à empresa de auditoria @statemindio por relatar a vulnerabilidade mencionada em nosso último anúncio. 🔮
Graças ao seu relatório, conseguimos garantir todos os fundos e trabalhar em conjunto com @avalancheavax para corrigir a vulnerabilidade!🔥
— 🧙🏼♂️ (@MIM_Spell) 8 de Setembro de 2022
As vulnerabilidades foram corrigidas em tempo recorde. Tanto o Avalanche quanto o Abracadabra têm compartilhou um post mortem sobre a situação. Outras blockchains afetadas provavelmente seguirão e fornecerão transparência à comunidade em geral.
Quem é a equipe por trás do White Hat Heroics?
Quem exatamente é a equipe por trás da descoberta? Entramos em contato com um blogueiro que também trabalha com a empresa para saber mais.
Conheço os hackers anônimos que divulgaram o exploit para @avalancheavax @MIM_Spell & @SushiSwap
economizando US $ 3 milhões em fundos de usuários e 300 milhões $ MIM tokens
se você é um jornalista de criptografia procurando comentários/detalhes exclusivos da equipe que encontrou o exploit, avise-me 🙂 https://t.co/3B8axWjYqS
- notEezzy 🧸 (@notEezzy) 8 de Setembro de 2022
A empresa de auditoria de segurança Blockchain Statemind revisou o código dos dez principais protocolos de blockchain em busca de pré-compilações personalizadas que podem ser potencialmente perigosas. Experiências anteriores, explicou a empresa de auditoria de blockchain, mostraram que pré-compilações personalizadas podem ser cada vez mais perigosas no ambiente certo.
De acordo com a pesquisa, Avalanche e outros tinham uma pré-compilação “que permitia que chamadas arbitrárias fossem roteadas através da pré-compilação que retransmitia msg.sender”. Para alguns protocolos, isso significava que qualquer pessoa poderia fazer chamadas em nome do contrato do protocolo.
Statemind.io é uma empresa líder em auditoria de segurança blockchain com mais de 100,000 LoC de experiência em Solidity e Vyper. Essa vasta experiência levou a mais de US$ 10 bilhões em TVL garantidos e a empresa ficou em 14º lugar no Paradigm CTF 2022. Graças ao Statemind, todos os “fundos são SAFU” e o setor de criptomoedas tem um novo herói de chapéu branco.
Fonte: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/