Los exploits han plagado regularmente la industria de la cadena de bloques y los protocolos DeFi como nunca antes. Casi todos los días que pasa hay otra historia de terror de un protocolo bien conocido que los piratas informáticos drenan los fondos a través de un exploit que podría haber sido detectado de antemano. Peor aún es el impacto que las noticias pueden tener en la comunidad de criptomonedas afectada, que puede caer en picado y perder un apoyo valioso.
Esta es exactamente la razón por la cual una vulnerabilidad crítica y un denunciante anónimo de sombrero blanco cautivaron recientemente a la comunidad de criptomonedas y llevaron a una investigación pública generalizada en Twitter de los principales desarrolladores de blockchain. Pero, ¿quién estuvo exactamente detrás del descubrimiento que salvó a la industria de las criptomonedas por un valor total de más de $ 650 millones?
Aquí están los detalles del incidente y cómo se convirtió en una investigación generalizada de la firma de auditoría de seguridad de blockchain detrás del descubrimiento. También revelaremos exactamente quiénes son los héroes.
Por qué Crypto Twitter inició una investigación sobre un denunciante anónimo
Las tecnologías emergentes se someten a rigurosas pruebas de estrés utilizando al público como probadores beta. Si bien la mayor parte del tiempo el equipo de desarrollo tiene las intenciones más puras, incluso la vulnerabilidad más pequeña puede ser explotada para que no quede ningún problema sin resolver cuando se trata de un código limpio y seguro.
Sin embargo, es imposible leer los titulares de los medios criptográficos sin toparse con historias después de historias de millones de dólares perdidas en momentos. Los proyectos afectados pueden tener dificultades para recuperarse y la comunidad sufre. Por lo general, los desarrolladores se quedan atrapados entregando las malas noticias a la comunidad sobre qué sucedió exactamente y por qué, y luego, a regañadientes, reciben la reacción negativa y las consecuencias.
Pero un ejemplo reciente de tendencia en Twitter fue uno de los raros finales felices que capturó el corazón de la criptocomunidad. Un denunciante anónimo salvó varios protocolos criptográficos importantes, como Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI) y otros, por un valor de hasta medio billón de dólares.
White Hat Discovery conduce a más de $ 650 millones en criptomonedas ahorradas
Los daños estimados y las posibles víctimas incluyen Avalanche en aproximadamente $ 350 millones; Abracadabra a aproximadamente $ 300 millones en tokens MIM y otros $ 3 millones en fondos de usuarios; Nereus Finance con casi $60 millones en tokens NXUSD; y aproximadamente $100,000 en fondos de préstamos SUSHI. También hay un impacto desconocido relacionado con la red de Boba.
Dada la enorme cantidad de fondos guardados, los desarrolladores de los protocolos afectados acudieron a Twitter para buscar al informante anónimo que envió su descubrimiento a ImmuneFi. Comenzó con el desarrollador principal de SushiSwap, Matthew Lilley, quien tuiteó sobre el tema e hizo que la encuesta fuera tendencia.
Kashi Markets en Avalanche fue pirateado tras el descubrimiento de un vector de ataque introducido por la precompilación Native Asset Call en Avalanche. El equipo de Sushi pudo validar el informe, que fue enviado por un hacker blanco en @immunefi , creando un PoC simple. 1/6
– Soy Software (@MatthewLilley) 8 de septiembre de 2022
En las próximas horas, un efecto dominó de desarrolladores comenzó a revelarse y revelar la vulnerabilidad y trabajar en una solución inmediata.
1/!
Hemos sido informados de una posible vulnerabilidad en nuestros calderos Avalanche.
No se han perdido fondos de los usuarios, la vulnerabilidad ahora está corregida y todas las garantías han sido protegidas.
Lea más sobre nuestra autopsia aquí https://t.co/2HSvPkugEs
– (@MIM_Spell) 8 de septiembre de 2022
Avalanche, Abracadabra y otros se presentan con The Humble Hero
Justo hoy, Patrick O'Grady, jefe de ingeniería de Ava Labs, recurrió a Twitter para agradecer a Statemind, quien luego dio un paso al frente como una empresa de seguridad de blockchain para descubrir completamente la vulnerabilidad.
@statemindio se presentó como el whitehat anónimo que informó a los equipos involucrados: https://t.co/MmG4hkkad7
¡Gracias nuevamente por todo su arduo trabajo para notificar a la comunidad sobre el problema!
– Patrick "The Faucet" O'Grady (@_patrickogrady) 8 de septiembre de 2022
La cuenta oficial de Twitter de Abracadabra también expresó su profundo agradecimiento por llamar la atención sobre la vulnerabilidad crítica y salvar a la criptocomunidad para otra historia de terror.
!
Nos gustaría agradecer profundamente a la firma de auditoría @statemindio por informar la vulnerabilidad mencionada en nuestro último anuncio.
¡Gracias a su informe pudimos asegurar todos los fondos y trabajar con @avalancheavax para corregir la vulnerabilidad!
– (@MIM_Spell) 8 de septiembre de 2022
Las vulnerabilidades fueron resueltas en tiempo récord. Tanto Avalanche como Abracadabra compartieron una autopsia sobre la situación . Es probable que otras cadenas de bloques interesadas sigan y brinden transparencia a la comunidad en general.
¿Quién es el equipo detrás del heroísmo del sombrero blanco?
¿Quién es exactamente el equipo detrás del descubrimiento? Nos pusimos en contacto con un bloguero que también trabaja con la empresa para obtener más información.
Conozco a los piratas informáticos anónimos que revelaron el exploit a @avalancheavax @MIM_Spell y @SushiSwap
ahorro de $ 3 millones en fondos de usuario y 300 millones de tokens MIM
si eres un reportero de criptomonedas y buscas comentarios/detalles exclusivos del equipo que encontró el exploit, házmelo saber https://t.co/3B8axWjYqS
– notEezzy (@notEezzy) 8 de septiembre de 2022
La firma de auditoría de seguridad de blockchain, Statemind, analizó el código de los diez principales protocolos de blockchain en busca de precompilaciones personalizadas que podrían ser potencialmente peligrosas. Las experiencias pasadas, explicó el auditor de blockchain, han demostrado que las precompilaciones personalizadas pueden ser cada vez más peligrosas en el entorno adecuado.
Según la investigación, Avalanche y otros tenían una precompilación "que permitía enrutar llamadas arbitrarias a través de la precompilación que transmitía msg.sender". Para algunos protocolos, esto significaba que cualquiera podía realizar llamadas en nombre del contrato de protocolo.
Statemind.io es una empresa líder en auditoría de seguridad de blockchain con más de 100 000 LoC de Solidity y experiencia en Vyper. Esta vasta experiencia resultó en más de $ 10 mil millones en TVL asegurados y la compañía ocupó el puesto 14 en el CTF Paradigm 2022. Gracias a Statemind, todos los "fondos son SAFU" y la industria de las criptomonedas tiene un nuevo héroe de sombrero blanco.