O Port Finance, um protocolo de empréstimo baseado em Solana, pagou uma recompensa de US$ 630,000 a um hacker de chapéu branco que ajudou a evitar uma potencial vulnerabilidade de US$ 25 milhões da plataforma. A empresa de segurança cibernética Halborn revelou na quarta-feira.
O hacker recebeu US$ 450,000 em PORT, o token de utilidade que alimenta o protocolo de empréstimo, e $ 180,000 em fiat, marcando o fim do programa de recompensas do projeto.
Um hacker de chapéu branco é um hacker de computador que usa seu conhecimento técnico e experiência para melhorar a segurança descobrindo bugs e brechas.
Como isso aconteceu
Halborn explicou em Twitter que o chapéu branco chamado nojob descobriu uma brecha no Port Finance que poderia ter levado a uma perda de US $ 25 milhões se explorada por maus atores. Se isso tivesse acontecido, Port teria sido apenas mais uma vítima dos intermináveis hacks DeFi na indústria de criptomoedas.
O hacker de chapéu branco descobriu o bug em março enquanto navegando na internet e reportou imediatamente para a plataforma baseada em Solana através do ImmuneFi, uma plataforma de recompensas de bugs da web3.
Halborn observou que um ataque a Port teria sido possível porque o design do protocolo permite que “pools definam uma taxa de bônus para liquidar ativos e um limite que torne os empréstimos vulneráveis à liquidação”. Além disso, o protocolo permite que um liquidante retire até “50% do valor emprestado de uma obrigação e o bônus indicado.”
A maioria dos credores DeFi de criptomoedas oferece empréstimos em que a relação empréstimo/valor (LTV) é menor que um, o que significa que a garantia é mais valiosa do que o próprio empréstimo. O empréstimo se torna liquidável se seu valor de garantia cair muito baixo devido ao alto LTV, explicou Halborn.
Por exemplo, um invasor poderia usar esse método para explorar o Port Finance indo para reservas com altas taxas de bônus R1 e baixo LTV, onde os valores somam mais de 100%. Em seguida, deposite alguns fundos em R1 e vários valores maiores em R2.
O explorador então pegaria um empréstimo do R2, a mesma quantidade de fundos bloqueados no R1, e depois iria mais longe para liberar a garantia do R2, tornando a obrigação liquidável.
A empresa de segurança cibernética observou que a Port Finance corrigiu o bug “alterando o cálculo do valor máximo de retirada de 50% para ser baseado na relação entre o valor máximo de empréstimo permitido para uma obrigação, o valor real emprestado e o L2V da reserva. ”
Enquanto isso, esta não é a primeira vez que um hacker de chapéu branco é recompensado por identificar um bug. No início deste ano, a plataforma líder de negociação de criptomoedas Coinbase pagou uma recompensa de US$ 250,000 a um chapéu branco por ajudar a evitar um bug de “mercado nuclear” na exchange.
Fonte: https://coinfomania.com/port-finance-pays-white-hat-hacker-630k/#utm_source=rss&%23038;utm_medium=rss&%23038;utm_campaign=port-finance-pays-white-hat-hacker -630k