Exploits têm atormentado regularmente a indústria de blockchain e os protocolos DeFi como nunca antes. Quase todos os dias que passa, há outra história de horror de um protocolo bem conhecido sendo drenado de fundos por hackers por meio de uma exploração que poderia ter sido detectada com antecedência. Pior ainda é o impacto que as notícias podem ter na comunidade de criptomoedas afetada, que pode despencar em valor e perder um suporte valioso.
É exatamente por isso que uma vulnerabilidade crítica e um denunciante anônimo de chapéu branco cativaram recentemente a comunidade de criptomoedas e levaram a uma ampla investigação pública no Twitter dos principais desenvolvedores de blockchain. Mas quem exatamente estava por trás da descoberta que salvou a indústria de criptomoedas totalizando mais de US$ 650 milhões em valor?
Aqui estão os detalhes do incidente e como ele se transformou em ampla pesquisa da empresa de auditoria de segurança blockchain por trás da descoberta. Também revelaremos exatamente quem são os heróis.
Por que o Crypto Twitter iniciou uma investigação sobre um denunciante anônimo
As tecnologias emergentes passam por rigorosos testes de estresse usando o público como testadores beta. Embora na maioria das vezes a equipe de desenvolvimento tenha as intenções mais puras, mesmo a menor vulnerabilidade pode ser explorada para que nenhum problema seja deixado de lado quando se trata de código limpo e seguro.
No entanto, é impossível ler manchetes de mídia criptográfica sem se deparar com histórias depois de milhões de histórias de dólares perdidas em momentos. Os projetos afetados podem ter dificuldade em se recuperar e a comunidade sofre. Os desenvolvedores geralmente ficam presos em entregar as más notícias à comunidade sobre o que exatamente aconteceu e por quê, e então relutantemente recebem a reação e as consequências.
Mas um exemplo recente de tendências no Twitter foi um dos raros finais felizes que capturou o coração da comunidade de criptomoedas. Um denunciante anônimo salvou vários protocolos criptográficos importantes, como Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) e outros, até meio bilhão de dólares em valor.
White Hat Discovery leva a mais de US $ 650 milhões em criptomoedas economizadas
Danos estimados e vítimas potenciais incluem Avalanche em aproximadamente $ 350 milhões; Abracadabra para aproximadamente US$ 300 milhões em tokens MIM e outros US$ 3 milhões em fundos de usuários; Nereus Finance com quase US$ 60 milhões em tokens NXUSD; e aproximadamente $ 100.000 em fundos de empréstimo SUSHI. Há também um impacto desconhecido relacionado à rede Boba.
Dada a enorme quantidade de fundos mantidos em segurança, os desenvolvedores dos protocolos afetados foram ao Twitter para procurar o informante anônimo que enviou sua descoberta ao ImmuneFi. Tudo começou com o desenvolvedor principal do SushiSwap, Matthew Lilley, que twittou sobre o tópico e tornou a pesquisa uma tendência.
Kashi Markets on Avalanche foi hackeado após a descoberta de um vetor de ataque introduzido pela pré-compilação Native Asset Call no Avalanche. A equipe do Sushi conseguiu validar o relatório, que foi enviado por um whitehacker no @immunefi , criando um PoC simples. 1/6
– Sou Software (@MatthewLilley) 8 de setembro de 2022
Nas próximas horas, um efeito dominó de desenvolvedores começou a se apresentar e revelar a vulnerabilidade e trabalhar em uma solução imediata.
1/!
Fomos avisados de uma possível vulnerabilidade em nossos caldeirões de Avalanche.
Nenhum fundo de usuário foi perdido, a vulnerabilidade agora foi corrigida e todas as garantias foram protegidas.
Leia mais em nosso post mortem aqui https://t.co/2HSvPkugEs
– (@MIM_Spell) 8 de setembro de 2022
Avalanche, Abracadabra e outros avançam com The Humble Hero
Ainda hoje, Patrick O'Grady, chefe de engenharia da Ava Labs, foi ao Twitter para agradecer à Statemind, que mais tarde se apresentou como uma empresa de segurança blockchain para descobrir completamente a vulnerabilidade.
@statemindio se apresentou como o whitehat anônimo que informou as equipes envolvidas: https://t.co/MmG4hkkad7
Obrigado novamente por todo o seu trabalho duro para notificar a comunidade sobre o problema!
– Patrick "The Faucet" O'Grady (@_patrickogrady) 8 de setembro de 2022
A conta oficial do Twitter da Abracadabra também expressou seus profundos agradecimentos por chamar a atenção para a vulnerabilidade crítica e salvar a comunidade de criptomoedas para mais uma história de terror.
!
Gostaríamos de agradecer profundamente à empresa de auditoria @statemindio por relatar a vulnerabilidade mencionada em nosso último anúncio.
Graças ao relatório deles, conseguimos garantir todos os fundos e trabalhar com @avalancheavax para corrigir a vulnerabilidade!
– (@MIM_Spell) 8 de setembro de 2022
As vulnerabilidades foram resolvidas em tempo recorde. Tanto Avalanche quanto Abracadabra compartilharam uma autópsia sobre a situação . Outras blockchains interessadas provavelmente seguirão e fornecerão transparência à comunidade em geral.
Quem é a equipe por trás do heroísmo do chapéu branco?
Quem exatamente é a equipe por trás da descoberta? Entramos em contato com um blogueiro que também trabalha com a empresa para saber mais.
Conheço os hackers anônimos que revelaram o exploit para @avalancheavax @MIM_Spell e @SushiSwap
economizando US $ 3 milhões em fundos de usuários e 300 milhões de tokens MIM
se você é um repórter de criptomoedas e está procurando comentários / detalhes exclusivos da equipe que encontrou a exploração, me avise https://t.co/3B8axWjYqS
– notEezzy (@notEezzy) 8 de setembro de 2022
A empresa de auditoria de segurança Blockchain Statemind examinou o código dos dez principais protocolos blockchain para pré-compilações personalizadas que poderiam ser potencialmente perigosas. Experiências anteriores, explicou o auditor de blockchain, mostraram que pré-compilações personalizadas podem ser cada vez mais perigosas no ambiente certo.
De acordo com a pesquisa, Avalanche e outros tinham uma pré-compilação "que permitia que chamadas arbitrárias fossem roteadas através da pré-compilação que transmitia msg.sender". Para alguns protocolos, isso significava que qualquer pessoa poderia fazer chamadas em nome do contrato de protocolo.
A Statemind.io é uma empresa líder em auditoria de segurança de blockchain com mais de 100.000 LoCs Solidity e experiência em Vyper. Essa vasta experiência resultou em mais de US$ 10 bilhões em TVL segurada e a empresa ficou em 14º lugar no CTF Paradigm 2022. Graças ao Statemind, todos os “fundos são SAFU” e a indústria de criptomoedas tem um novo herói do chapéu branco.