นักวิจัยของ Immunefi ประหยัดเงินได้ 200 ล้านดอลลาร์จากการโจรกรรมของโปรเจ็คบน Polkadot 3 ตัว
นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ของซอฟต์แวร์ที่อาจถูกใช้เพื่อขโมยเงินมากถึง 200 ล้านดอลลาร์จากร่มชูชีพที่เข้ากันได้กับ Ethereum สามตัวบน Polkadot ได้แก่ Moonbeam, Astar Network และ Acala
นักวิจัยที่รู้จักกันในชื่อ pwning.eth ได้พบและรายงานช่องโหว่ที่สำคัญในเดือนมิถุนายนในซอฟต์แวร์ที่ชื่อว่า Frontier ซึ่งใช้สำหรับ “ห่อ” โทเค็นเนทีฟในโครงการบล็อกเชนสามโครงการ (หรือพาราเชน) บนเครือข่าย Polkadot รายงานดังกล่าวถูกส่งไปยัง Immunefi ซึ่งเป็นแพลตฟอร์มการล่าบั๊กที่เน้นการเข้ารหัสลับเมื่อวันที่ 27 มิถุนายน แต่เพิ่งได้รับการเปิดเผยเมื่อไม่นานมานี้
“Pwning.eth พบข้อบกพร่องที่ส่งผลกระทบต่อระบบนิเวศของ Polkadot ทั้งหมด และจะทำให้แฮ็กเกอร์สามารถขโมยเงินกว่า 200 ล้านดอลลาร์ทั่วทั้ง Moonbeam, Astar Network และ Acala” ตัวแทนจาก Immunefi กล่าวกับ The Block “พวกเขาทั้งหมดเสี่ยงต่อข้อผิดพลาดที่อาจทำให้ผู้ใช้ที่เป็นอันตรายสร้างโทเค็นเนทีฟที่ห่อไว้ได้”
ในกรณีนี้ การแรปคือกระบวนการแปลงสินทรัพย์ดิจิทัลดั้งเดิมของบล็อกเชนเป็นโทเค็นที่แอพรองรับได้ง่ายกว่า ทำได้โดยใช้สัญญาอัจฉริยะซึ่งเก็บโทเค็นดั้งเดิมไว้ในเอสโครว์และออกโทเค็นที่ห่อให้กับผู้ใช้
ช่องโหว่บนเครือข่ายทั้งสามอาจถูกนำไปใช้ในทางที่ผิดเพื่อสร้างโทเค็นแบบห่อหุ้มไม่จำกัด ซึ่งรวมถึงห่อหุ้ม astar (WASTR) บน Astar, ห่อหุ้ม moonbeam (WGLMR) บน Moonbeam และห่อหุ้ม moonriver (WMOVR) บน Moonriver ซึ่งเป็นเครือข่ายน้องสาวของ Moonbeam
Immunefi กล่าวว่ามูลค่าโดยประมาณของสินทรัพย์ที่มีความเสี่ยงอยู่ที่ประมาณ 200 ล้านดอลลาร์จากทั้งสามกลุ่ม Parachains หลังจากมีรายงานช่องโหว่ ทีม Parachain ทั้ง 3 ทีมได้ทำงานเพื่อแก้ไขและออกแพตช์ฉุกเฉินก่อนที่ผู้ประสงค์ร้ายจะใช้ประโยชน์จากช่องโหว่นี้ได้ ไม่มีเงินทุนสูญหาย
Moonbeam และ Astar ซึ่งมีโปรแกรมตรวจจับข้อบกพร่องที่ใช้งานอยู่ร่วมกับ Immunefi ได้รับรางวัล 1 ล้านดอลลาร์แก่แฮ็กเกอร์ที่มีจริยธรรมผ่าน Immunefi Parity ผู้พัฒนา Frontier Library ตัดสินใจบริจาคเงิน 250,000 ดอลลาร์เพื่อเป็นรางวัล 1 ล้านดอลลาร์ แม้ว่า Immunefi จะไม่ได้ค่าหัวบั๊กก็ตาม
Pwning.eth ไม่ใช่คนแปลกหน้าในการค้นหาจุดบกพร่องที่สำคัญและได้รับรางวัลก้อนโต ในช่วงต้นปี 2022 แฮ็กเกอร์หมวกขาวได้รับรางวัลเป็นเงินรางวัล 6 ล้านดอลลาร์หลังจากค้นพบช่องโหว่ใน Aurora ซึ่งเป็นบล็อกเชนที่เข้ากันได้กับ EVM สำหรับ NEAR Protocol ซึ่งประหยัดเงินได้ประมาณ 70,000 ETH มูลค่า 200 ล้านดอลลาร์ในขณะนั้น