" Исследователь безопасности Immunefi, известный как pwning.eth, обнаружил критическую уязвимость в трех парачейнах Polkadot и получил вознаграждение в размере 1 миллиона долларов.
Белый хакер обнаружил уязвимость в программном обеспечении, которая могла быть использована для кражи до 200 миллионов долларов из трех совместимых с Ethereum парачейнов на Polkadot — Moonbeam, Astar Network и Acala.
Исследователь, известный как pwning.eth, обнаружил и сообщил о критической уязвимости в июне, когда программа была представлена, в программном обеспечении под названием Frontier, которое используется для «обертывания» нативных токенов в трех блокчейн-проектах (или парачейнах) на Polkadot. Отчет был представлен на платформе для поиска ошибок Immunefi, ориентированной на криптоиндустрию, 27 июня, но раскрыт только недавно.
«Pwning.eth обнаружил ошибку, которая могла затронуть всю экосистему Polkadot и позволила бы хакерам украсть более 200 миллионов долларов в Moonbeam, Astar Network и Acala, — сообщил представитель Immunefi. — Все они были уязвимы для ошибки, которая могла позволить злоумышленникам чеканить завернутые нативные токены».
В данном случае обертывание — это процесс преобразования нативных криптоактивов блокчейнов в токены, которые могут более легко поддерживаться приложениями. Это делается с использованием смарт-контракта, который хранит нативные токены на условном депонировании и выдает обернутые токены пользователю.
Уязвимость в трех блокчейнах могла быть использована для выпуска неограниченного количества обернутых токенов, включая обернутый Astar (WASTR) на Astar, обернутый Moonbeam (WGLMR) на Moonbeam и обернутый Moonriver (WMOVR) на Moonriver, родственной сети Moonbeam.
По словам Immunefi, оценочная стоимость активов, подверженных уязвимости, составляет около 200 миллионов долларов в трех парачейнах. После того, как об уязвимости было сообщено, три команды парачейнов работали над ее исправлением и выпустили экстренный патч, прежде чем какие-либо злоумышленники смогли воспользоваться уязвимостью. Никакие средства не были потеряны.
Moonbeam и Astar, у которых есть активные программы вознаграждения за ошибки с Immunefi, выделили 1 миллион долларов этичному хакеру через Immunefi. Parity, разработчик Frontier Library, решила внести 250 000 долларов в награду в размере 1 миллиона долларов, несмотря на то, что у Immunefi не было вознаграждения за обнаружение ошибок.
Pwning.eth не привыкать находить критические ошибки и получать крупные суммы. В сентябре 2022 года белый хакер получил вознаграждение в размере 6 миллионов долларов после обнаружения уязвимости в Aurora, совместимом с EVM блокчейне для протокола NEAR, выведя из-под удара около 70 000 ETH на сумму 210 миллионов долларов на тот момент.
