Statemind חוסך Avalanche ואחרים חצי מיליארד בקריפטו

מעלליו מטרידים באופן קבוע את תעשיית הבלוקצ'יין ואת פרוטוקולי DeFi כמו שמעולם לא. כמעט בכל יום שעובר יש עוד סיפור זוועה של פרוטוקול ידוע שרוקן כספים על ידי האקרים באמצעות ניצול שהיה אפשר לתפוס מראש. גרועה עוד יותר היא ההשפעה שיכולה להיות לחדשות על הקהילה של המטבע הקריפטו המושפע, שעלול לקרוס בערכו ולאבד תמיכה חשובה. 

זו בדיוק הסיבה שפגיעות קריטית ומטיף כובע לבן אנונימי כבשו את קהילת הקריפטו לאחרונה והובילו לחקירה ציבורית נרחבת בטוויטר בין מפתחי בלוקצ'יין מובילים. אבל מי בדיוק עמד מאחורי התגלית שחסכה לתעשיית מטבעות הקריפטו שווי כולל של יותר מ-650 מיליון דולר? 

להלן הפרטים של התקרית וכיצד זה התפתח לחיפוש נרחב אחר חברת ביקורת אבטחת הבלוקצ'יין מאחורי התגלית. אנחנו גם נחשוף בדיוק מי הם הגיבורים. 

למה קריפטו טוויטר פתחה בחקירה לגבי טיפר אנונימי

טכנולוגיות מתפתחות עוברות מבחני מאמץ קפדניים תוך שימוש בציבור כבוחני הבטא. למרות שלעיתים קרובות יותר לצוות הפיתוח יש את הכוונות הטהורות ביותר, ניתן לנצל אפילו את הפגיעות הקטנה ביותר כך שלא ניתן להשאיר אבנים ללא שינוי בכל הנוגע לקוד נקי ומאובטח. 

עם זאת, אי אפשר לקרוא כותרות במדיה קריפטו מבלי להיתקל בסיפור אחר סיפור של מיליוני דולרים שאבדו תוך רגעים ספורים. פרויקטים מושפעים עלולים להיאבק להתאושש, והקהילה סובלת כתוצאה מכך. מפתחים בדרך כלל תקועים ומעבירים את החדשות הרעות לקהילה על מה בדיוק קרה ומדוע, ואז מקבלים בחוסר רצון את תגובת הנגד והנפילה. 

אבל דוגמה עדכנית שהייתה מגמתית בטוויטר הייתה אחד הסופים הטובים הנדירים שכבשו את לב קהילת הקריפטו. טיפר אנונימי הציל כמה פרוטוקולי קריפטו מובילים - כמו Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) ואחרים - בערך של חצי מיליארד דולר.  

White Hat Discovery מוביל ליותר מ-650 מיליון דולר בחסכון במטבעות קריפטו 

הנזקים והקורבנות המשוערים כוללים Avalanche בכ-350 מיליון דולר; Abracadabra בשווי של כ-300 מיליון דולר של אסימוני MIM ו-3 מיליון דולר נוספים בכספי המשתמש; Nereus Finance עם כמעט 60 מיליון דולר באסימוני NXUSD; וכ-100 אלף דולר בכספים מהלוואות SUSHI. יש גם השפעה לא ידועה הקשורה לרשת בובה. 

בהתחשב בכמות העצומה של הכספים שנשמרו בטוחים, מפתחי הפרוטוקולים המושפעים פנו לטוויטר בחיפוש אחר המלצה האנונימית ששלחה את הגילוי שלהם ל-ImmuneFi. זה התחיל עם מפתח הליבה של SushiSwap מתיו לילי, שצייץ על הנושא וקיבל את מגמת החקירה. 

Kashi Markets on Avalanche נפרצו בעקבות גילוי וקטור התקפה שהוצג על ידי ה-Native Asset Call precompile על Avalanche. צוות הסושי הצליח לאמת את הדוח, שהוגש על ידי Whitehacker ביום @immunefi, על ידי יצירת PoC פשוט. 1/6

— אני תוכנה 🦇🔊 (@MatthewLilley) ספטמבר 8, 2022

בשעות שלאחר מכן, אפקט דומינו של מפתחים החל לצוץ ולחשוף את הפגיעות ולעבוד על תיקון מיידי.

1/🧙🏼‍♂️!

קיבלנו הודעה על פגיעות אפשרית בקדרות המפולת שלנו.

שום כספי משתמש לא אבדו, הפגיעות תוקנה כעת וכל הבטחונות אובטחו.

📖 קראו עוד על הפוסט מורטם שלנו כאן👇🏻https://t.co/2HSvPkugEs

— 🧙🏼‍♂️ (@MIM_Spell) ספטמבר 8, 2022

Avalanche, Abracadabra ואחרים באים קדימה עם הגיבור הצנוע

רק היום, כשראש ההנדסה של Ava Labs, פטריק אוגריידי, פנה לטוויטר כדי להביע תודה ל-Statemind, שלימים צעדה קדימה בתור חברת אבטחת הבלוקצ'יין כדי לגלות את הפגיעות באופן נרחב. 

👀👀@statemindio התייצב בתור הכובע הלבן האלמוני שסיפר על הצוותים המעורבים: https://t.co/MmG4hkkad7

שוב תודה על כל עבודתך כדי להתריע בפני הקהילה על הנושא! 🫡

— פטריק "הברז" אוגריידי 🔺 (@_patrickogrady) ספטמבר 8, 2022

חשבון הטוויטר הרשמי של Abracadabra גם הביעו את תודתם העמוקה על שהפנו את תשומת הלב לפגיעות הקריטית והצילו את קהילת הקריפטו לעוד סיפור אימה. 

🧙🏼‍♂️!

ברצוננו להודות מעומק הלב למשרד רואי החשבון @statemindio על הדיווח על הפגיעות שהוזכרה בהודעה האחרונה שלנו. 🔮

הודות לדוח שלהם הצלחנו להבטיח את כל הכספים ולעבוד יחד איתם @avalancheavax לתקן את הפגיעות!🔥

— 🧙🏼‍♂️ (@MIM_Spell) ספטמבר 8, 2022

הפגיעות תוקנו בזמן שיא. גם Avalanche וגם Abracadabra יש שיתף פוסט מורטם על המצב. בלוקצ'יין אחרים מושפעים צפויים לעקוב ולספק שקיפות לקהילה בכללותה. 

מי הצוות שמאחורי גבורות הכובע הלבן?

מי בדיוק הצוות שעומד מאחורי התגלית? היינו בקשר עם בלוגר שגם עובד עם החברה כדי ללמוד עוד. 

אני מכיר את ההאקרים האנונימיים שחשפו בפניהם את הניצול @avalancheavax @MIM_Spell & @סושי החלפה

חיסכון של 3 מיליון דולר בכספי המשתמש ו-300 מיליון $ MIM אסימונים

אם אתה עיתונאי קריפטו שמחפש תגובות/פרטים בלעדיים מהצוות שמצא את הניצול תודיע לי 🙂 https://t.co/3B8axWjYqS

— notEezzy 🧸 (@notEezzy) ספטמבר 8, 2022

חברת ביקורת האבטחה של Blockchain Statemind בחנה את הקוד של עשרת פרוטוקולי הבלוקצ'יין המובילים בחיפוש אחר קומפילים מותאמים אישית שעלולים להיות מסוכנים. חוויות קודמות, הסבירה חברת הביקורת בלוקצ'יין, הראו כי קומפילים מוקדמים מותאמים אישית יכולים להיות מסוכנים יותר ויותר בסביבה הנכונה. 

לפי המחקר, ל-Avalanche ואחרים היה קומפילציה מקדימה "שאפשרה ניתוב שיחות שרירותיות דרך הקומפילציה המוקדמת שמעבירה את msg.sender". עבור חלק מהפרוטוקולים, זה אומר שכל אחד יכול לבצע שיחות מטעם החוזה של הפרוטוקול. 

Statemind.io היא חברת ביקורת אבטחה בלוקצ'יין מובילה עם למעלה מ-100,000 ניסיון של סולידיות ו-Vyper של LoC. הניסיון העצום הזה הוביל ליותר מ-$10B ב-TVL מאובטחת והחברה הגיעה למקום ה-14 ב- Paradigm CTF 2022. הודות ל-Statemind, כל "הקרנות הן SAFU", ולתעשיית המטבעות הקריפטוגרפיים יש גיבור כובע לבן חדש.