Wormhole hat eine Bug-Bounty-Auszahlung in Höhe von 10 Millionen $ angekündigt

Nach einem 323-Millionen-Hack hat die Crypto Bridge im Februar ein Bug-Bounty-Programm eingerichtet.

Der Hacker, dessen Pseudonym satya0x ist, kommentierte, dass Blockchain-Sicherheitsprobleme eine „existenzielle Bedrohung“ für die Zukunft der Technologie darstellen.

Das Bounty-Belohnungsprogramm von Wormhole basiert auf dem vom Hacker entdeckten Risiko.

Eine bemerkenswerte Tat, belohnt

Laut seinem Bug-Bounty-Partner Immunefi hat Wormhole 10 Millionen $ an einen Hacker ausgezahlt, der im Februar eine Sicherheitslücke in seinem Ethereum-Core Bridge-Vertrag aufgedeckt hat. Die Belohnung wurde an einen White-Hat-Hacker mit dem Pseudonym satya0x verliehen, der den von ihm als „aktualisierbaren Fehler bei der Implementierung von Proxys zur Selbstzerstörung“ bezeichnete, entdeckt und gemeldet hat.

Wormhole gab die Initiative im Februar bekannt, nur wenige Tage nach dem Verlust von über 323 Millionen $ an ETH an einen Hacker bei einem der bedeutendsten DeFi-Protokollangriffe. Es änderte schnell seine Blockchain-Brücke und bot dem Angreifer 10 Millionen $ als Gegenleistung für das Geld an.

Wormholes Ansatz für die Sicherheit seiner Bridge, weiße Hacker und Cybersecurity-Experten zu belohnen, die Schlupflöcher in den Betriebssystemen seiner Chain aufspüren können, wird eine sicherere Umgebung für Blockchain-Protokolle und -Bridges fördern, da mehrere Bridges in diesem Jahr Betrügereien zum Opfer gefallen sind.

Wormhole und Immunefi

Wormhole ist ein Nachrichtensystem, das hochwertige Blockchains miteinander verbindet. Seine Apps nutzen die Hauptnachrichtenebene, damit Ökosysteme miteinander kommunizieren können. Entwickler können beliebige Daten kettenübergreifend teilen, einschließlich Tokens, NFTs, Oracle-Daten, Governance-Entscheidungen und mehr, dank der 19 Guardians des Protokolls. Wormhole ist mit Ethereum, Binance Smart Chain, Solana, Terra, Oasis, Polygon und Avalanche verbunden.

Immunefi hingegen ist das bekannteste Bug-Bounty-Programm für Smart Contracts und DeFi-Projekte. Hier untersuchen Sicherheitsforscher Code, decken Fehler auf und machen Verschlüsselung für alle sicherer. Immunefi-Operationen ermöglichen es Sicherheitsforschern, potenzielle Smart Contract- und Anwendungsschwachstellen zu finden und aufzudecken und dafür belohnt zu werden und dabei anfällige Projekte vor Angriffen zu schützen.

Quelle: Immunuefi

Die Ursache des Bugs

Laut einem von Immunefi veröffentlichten Blogbeitrag ist die Wormhole-Sicherheitsanfälligkeit aufgetaucht, nachdem die Integration eines Common Upgradeable Proxy Normal (UUPS) -Proxy „nicht initialisiert wurde, nachdem ein früherer Bugfix Initialisierung, was bedeutete, dass ein Angreifer sein eigenes Guardian-Set bewegen und das Upgrade als Guardian fortsetzen konnte, das sie verwaltet haben.“

Darüber hinaus hätte ein Angreifer, der die Sicherheitsanfälligkeit ausnutzt, basierend auf einem Proof of Concept (PoC), der von Immunefi auf GitHub veröffentlicht wurde, „das gesamte System erpressen können mit der Gefahr, dass die Ethereum-Wormhole-Brücke gemauert und alle in diesem Vertrag vorhandenen Vermögenswerte auf unbestimmte Zeit verlegt werden.“

Der PoC erklärte außerdem, dass „zum Zeitpunkt der Einreichung 736 Millionen $ an Vermögenswerten im Vertrag ansässig waren“.

Laut Immunefi gingen keine Benutzerressourcen verloren, bevor die Sicherheitsanfälligkeit gefunden wurde, da Wormhole in der Lage war, schnell zu reagieren und das Problem am selben Tag (24. Februar) zu verifizieren und zu lösen, an dem satya0x es gemeldet hat.

Der White Hat Hacker und das Prämienprogramm

Quelle: Twitter

Das Reward Bug Bounty-Programm von Wormhole bietet eine zusätzliche Schutzebene für Benutzer und zeigt ihr langfristiges Engagement dafür, das Wormhole-Protokoll und das DeFi-Ökosystem sicherer zu machen.

Das Programm konzentriert sich auf die Verhinderung von Exploits, die dazu führen, dass Benutzergelder gesperrt werden, verloren gehen oder gestohlen werden, das Fälschen nicht verifizierter Daten, Manipulation der Unternehmensführung, Offenlegung privater Schlüssel, Remotecodeausführung usw.

Die Belohnungen des Wormhole-Bug-Bounty-Programms basieren auf dem Immunefi Vulnerability Severity Classification System. Daher werden die Preise entsprechend den Auswirkungen der Sicherheitsanfälligkeit verteilt. Wenn Sie als White-Hat-Hacker oder Sicherheitsspezialist beispielsweise einen „niedrigen“ Smart-Contract-Fehler entdecken, können Sie bis zu 2.500$ verdienen, während ein „kritischer“ Fehler Ihnen bis zu 10 Millionen $ einbringen kann — genau wie bei satya0x.

Satya0x erklärte in einer Erklärung der Krypto-Plattform, dass Blockchain-Sicherheitsprobleme eine „existenzielle Bedrohung“ für die Zukunft des Netzwerks darstellen.

„Ich bin stolz darauf, einen Beitrag zur Minderung einer schwerwiegenden Sicherheitslücke und einer systemischen Bedrohung des Ökosystems geleistet zu haben“, sagte satya0x.

Er kommentierte in einer Erklärung laut Block weiter, dass wir Gefahr laufen, genau die Machtstrukturen, die wir zu zerstören versuchen, wieder auftauchen zu lassen, wenn wir systemische Risiken nicht erkennen und aggressiv reduzieren; wenn wir nicht die Transparenz und die Werkzeuge bereitstellen, die die Nutzer benötigen, um fundierte Entscheidungen zu treffen; wenn wir weiterhin einfache Fehler verurteilen und dabei Total Value Lost als einzigen Maßstab für Erfolg loben.

Fazit

Wormhole glaubt, dass dieses Bug-Bounty-Programm und andere ähnliche Initiativen das Blockchain-Ökosystem vor Hackerangriffe und Sicherheitsverletzungen schützen würden. Es ist auch eine Möglichkeit, White Hats zu ermutigen, Sicherheitslücken aufzudecken und kompetenter in der Aufgabe zu werden, wenn festgestellt wurde, dass sie belohnt werden.

Autor: Gate.io Beobachter: M. Olatunji

* Dieser Artikel gibt nur die Ansichten der Beobachter wieder und stellt keine Anlagevorschläge dar.

*Gate.io behält sich alle Rechte an diesem Artikel vor. Das erneute Posten des Artikels ist erlaubt, sofern auf Gate.io verwiesen wird. In allen anderen Fällen werden rechtliche Schritte wegen einer Urheberrechtsverletzung eingeleitet.