Белый хакер получил рекордную баунти-премию от Wormhole
“Чтобы поймать преступника нужно мыслить как преступник”. Это истину из уголовного розыска давно поняли фаундеры блокчейн-протоколов, став приглашать к сотрудничеству не только классических разработчиков, но и хакеров. Т.е. тех, кто мыслит не с точки зрения инженерии, функционала и пользовательских возможностей, а с позиции поиска уязвимостей и неэффективностей.
Хакеров, работающих в подобном формате с различными компаниями, принято называть “белыми” (в качестве антагонистов “черных хакеров”, занимающихся взломами, кражами и мошенничеством).
Wormhole совсем недавно вошли в историю, как проект с одним из самых крупных и громких эксплойтов в индустрии децентрализованных финансов: преступникам удалось ограбить платформу более чем на $300 млн. Поэтому, хоть команде, к сожалению, и приходится идти по пути собственного негативного опыта (а не “на опережение”, как могло бы быть), но и баунти-бонусы, которые они предлагают для белых хакеров, являются очень щедрыми.
11 февраля на платформе Immunefi, специализирующейся на поиске ошибок в смарт-контрактах, появился грант от Wormhole на $10 млн (с выплатой в USDC). Баунти-программа имела несколько уровней сложности, от $2,5 млн до $10 млн, в зависимости от способности хакера “опустошить” всю заблокированную стоимость из одной или нескольких цепочках.
Участники были обязаны пройти KYC-верификацию, хотя для самой программы хакеры использовали собственные никнеймы. На решение задачи победителю с ником satya0x понадобилось менее двух недель. Twitter-страница хакера была создана также в феврале, из чего можно сделать вывод, что аккаунт был открыт специально для конкурса Wormhole.
Уже 24 февраля он указал на критическую уязвимость в главном мосте протокола на Ethereum, которая заключалась в возможности самоликвидации прокси в момент обновления. Потенциально это могло привести к блокировке средств пользователей.
Прокси позволяют вносить периодические изменения кода, что является необходимостью даже для таких, казалось бы, неизменяемых вещей как смарт-контракты (в частности – и как способ устранения обнаруживаемых ошибок и багов).
Таким образом, именно прокси-контракты и несут в себе основные риски внешнего вмешательства в код (либо использования существующих в нем слабых мест). Команда проекта заявила, что найденная хакером уязвимость была подтверждена и устранена. Повторное тестирование ошибки показало, что протокол способен обеспечить безопасность агрегированных активов.
Данный кейс в $10 млн стал рекордным баг-баунти в истории. Для проекта, который потерял более 300 миллионов долларов, решение проблемы обошлось в 3% от суммы эксплойта.
Размер бонуса от Wormhole может на долгое время оставаться самым крупным из-за явных признаков рецессии и возможного медвежьего рынка: многие DeFi-протоколы могут столкнуться с проблемами ликвидности, а пользователи - со значительным “похудением” своих крипто-портфелей.