Um pesquisador de segurança descobriu uma vulnerabilidade de software que poderia ter sido explorada para roubar até $ 200 milhões de três parachains compatíveis com Ethereum no Polkadot - Moonbeam, Astar Network e Acala.
O pesquisador, conhecido como pwning.eth, encontrou e relatou a vulnerabilidade crítica em junho, quando o programa foi submetido, em um software chamado Frontier que é usado para “embrulhar” tokens nativos nos três projetos de blockchain (ou parachains) no Polkadot rede. O relatório foi enviado na plataforma de caça a bugs com foco em cripto Immunefi em 27 de junho, mas divulgado apenas recentemente.
“Pwning.eth encontrou um bug que afetou todo o ecossistema Polkadot e permitiria que hackers roubassem mais de US$ 200 milhões em Moonbeam, Astar Network e Acala”, disse um representante da Immunefi ao The Block. “Eles estavam todos vulneráveis a um bug que poderia permitir que usuários mal-intencionados criassem tokens nativos encapsulados”.
Nesse caso, o empacotamento é o processo de conversão dos ativos criptográficos nativos de blockchains em tokens que podem ser mais prontamente suportados por aplicativos. Isso é feito com o uso de um contrato inteligente, que mantém os tokens nativos em custódia e emite os tokens encapsulados para o usuário.
A vulnerabilidade nas três cadeias pode ter sido abusada para cunhar tokens encapsulados ilimitados, incluindo astar encapsulado (WASTR) em Astar, moonbeam encapsulado (WGLMR) em Moonbeam e moonriver encapsulado (WMOVR) em Moonriver, uma rede irmã de Moonbeam.
O valor estimado dos ativos expostos à vulnerabilidade foi de cerca de US$ 200 milhões nas três parachains, disse a Immunefi. Depois que a vulnerabilidade foi relatada, as três equipes de parachains trabalharam para corrigi-la e lançaram um patch de emergência antes que qualquer agente mal-intencionado pudesse explorá-la. Nenhum dinheiro foi perdido.
A Moonbeam e a Astar, que têm programas ativos de recompensas por bugs com a Immunefi, concederam US$ 1 milhão ao hacker ético por meio da Immunefi. Parity, desenvolvedora da Frontier Library, decidiu contribuir com $ 250,000 para a recompensa de $ 1 milhão, apesar de não ter uma recompensa de bug com Immunefi.
Pwning.eth não é estranho em encontrar bugs críticos e receber grandes somas. No início de 2022, o hacker de chapéu branco foi recompensado com um Recompensa de US$ 6 milhões depois de descobrir uma vulnerabilidade no Aurora, um blockchain compatível com EVM para o NEAR Protocol, economizando cerca de 70,000 ETH no valor de $ 210 milhões na época.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/199718/immunefi-researcher-saves-200-million-from-potential-theft-on-three-polkadot-parachains?utm_source=rss&utm_medium=rss