eksploitasi telah secara teratur mengganggu industri blockchain dan protokol DeFi tidak seperti sebelumnya. Hampir setiap hari ada cerita horor lain tentang protokol terkenal yang dikuras dananya oleh peretas melalui eksploitasi yang bisa ditangkap sebelumnya. Lebih buruk lagi adalah dampak berita tersebut terhadap komunitas cryptocurrency yang terkena dampak, yang dapat jatuh nilainya dan kehilangan dukungan yang berharga.
Inilah tepatnya mengapa kerentanan kritis dan keterangan rahasia topi putih anonim memikat komunitas crypto baru-baru ini dan menyebabkan penyelidikan publik yang luas di Twitter antara pengembang blockchain teratas. Tetapi siapa sebenarnya yang berada di balik penemuan yang menyelamatkan industri cryptocurrency dengan nilai gabungan lebih dari $650 juta?
Berikut adalah rincian insiden tersebut dan bagaimana hal itu berkembang menjadi pencarian luas untuk perusahaan audit keamanan blockchain di balik penemuan tersebut. Kami juga akan mengungkapkan dengan tepat siapa pahlawannya.
Mengapa Crypto Twitter Meluncurkan Investigasi Terhadap Anonymous Tipster
Teknologi yang sedang berkembang diuji stres yang ketat dengan menggunakan publik sebagai penguji beta. Meskipun lebih sering daripada tidak tim pengembangan memiliki niat yang paling murni, bahkan kerentanan terkecil pun dapat dieksploitasi sehingga tidak ada batu yang terlewatkan ketika datang untuk membersihkan dan mengamankan kode.
Namun tidak mungkin untuk membaca berita utama media kripto tanpa tersandung pada cerita demi cerita jutaan dolar yang hilang dalam hitungan saat. Proyek yang terkena dampak dapat berjuang untuk pulih, dan akibatnya masyarakat menderita. Pengembang biasanya terjebak menyampaikan berita buruk kepada komunitas tentang apa yang sebenarnya terjadi dan mengapa, dan kemudian dengan enggan menerima reaksi dan dampak buruk.
Tetapi contoh baru-baru ini yang sedang tren di Twitter adalah salah satu akhir bahagia yang langka yang telah merebut hati komunitas crypto. Seorang keterangan rahasia anonim menyelamatkan beberapa protokol kripto teratas — seperti Avalanche (AVAX), Abracadabra (MIM), SushiSwap (SUSHI), dan lainnya — senilai setengah miliar dolar.
Penemuan White Hat Menghasilkan Lebih dari $650M Dalam Cryptocurrency Tersimpan
Perkiraan kerusakan dan calon korban termasuk Longsoran sekitar $350 juta; Abracadabra dengan token MIM senilai sekitar $300 juta dan tambahan $3 juta dalam dana pengguna; Nereus Finance dengan token NXUSD hampir $60 juta; dan dana sekitar $100K dari pinjaman SUSHI. Ada juga dampak yang tidak diketahui terkait dengan Jaringan Boba.
Mengingat sejumlah besar dana disimpan dengan aman, pengembang protokol yang terpengaruh menggunakan Twitter untuk mencari keterangan rahasia anonim yang mengirimkan penemuan mereka ke ImmuneFi. Itu dimulai dengan pengembang inti SushiSwap, Matthew Lilley, yang men-tweet tentang topik tersebut dan mendapatkan tren investigasi.
Pasar Kashi di Avalanche diretas setelah ditemukannya vektor serangan yang diperkenalkan oleh prakompilasi Native Asset Call di Avalanche. Tim Sushi dapat memvalidasi laporan, yang dikirimkan oleh whitehacker di @imunitas, dengan membuat PoC sederhana. 1/6
— Saya Perangkat Lunak 🦇🔊 (@MatthewLilley) September 8, 2022
Dalam beberapa jam berikutnya, efek domino dari pengembang mulai muncul dan mengungkapkan kerentanan dan segera memperbaikinya.
1/🧙🏼♂️!
Kami telah diberitahu tentang kemungkinan kerentanan pada kuali Longsoran kami.
Tidak ada dana pengguna yang hilang, kerentanan sekarang telah ditambal dan semua jaminan telah diamankan.
Baca lebih lanjut tentang post mortem kami di sini👇🏻https://t.co/2HSvPkugEs
— ️ (@MIM_Spell) September 8, 2022
Longsor, Abracadabra, Dan Lainnya Maju Dengan Pahlawan Rendah Hati
Baru hari ini ketika Kepala Teknik Ava Labs Patrick O'Grady turun ke Twitter untuk mengucapkan terima kasih kepada Statemind, yang kemudian melangkah maju sebagai perusahaan keamanan blockchain untuk menemukan kerentanan secara luas.
👀👀@statemindio maju sebagai whitehat anonim yang memberi tahu tim yang terlibat: https://t.co/MmG4hkkad7
Sekali lagi terima kasih atas semua pekerjaan Anda untuk mengingatkan komunitas tentang masalah ini!
— Patrick “The Faucet” O'Grady (@_patrickogrady) September 8, 2022
Akun Twitter resmi Abracadabra juga mengucapkan terima kasih yang mendalam karena telah meminta perhatian pada kerentanan kritis dan menyelamatkan komunitas crypto untuk kisah horor lainnya.
!
Kami ingin mengucapkan terima kasih yang sebesar-besarnya kepada firma audit @statemindio untuk melaporkan kerentanan yang disebutkan dalam pengumuman terbaru kami.
Berkat laporan mereka, kami telah berhasil mengamankan semua dana dan bekerja sama dengan @salsabellaanita untuk menambal kerentanan!🔥
— ️ (@MIM_Spell) September 8, 2022
Kerentanan diperbaiki dalam waktu singkat. Baik Avalanche dan Abracadabra memiliki membagikan post mortem tentang situasinya. Blockchain lain yang terkena dampak kemungkinan akan mengikuti dan memberikan transparansi kepada masyarakat luas.
Siapa Tim Dibalik Pahlawan Topi Putih?
Siapa sebenarnya tim di balik penemuan itu? Kami berhubungan dengan seorang blogger yang juga bekerja dengan perusahaan untuk mempelajari lebih lanjut.
Saya tahu peretas anonim yang mengungkapkan eksploit ke @salsabellaanita @MIM_Mantra & @Tokopedia
menghemat $3m dalam dana pengguna dan 300m $ SAYA token
jika Anda seorang jurnalis kripto yang mencari komentar/detail eksklusif dari tim yang menemukan eksploitasi, beri tahu saya https://t.co/3B8axWjYqS
— notEezzy (@notEezzy) September 8, 2022
Perusahaan audit keamanan Blockchain, Statemind, meninjau kode sepuluh protokol blockchain teratas untuk mencari prekompilasi khusus yang berpotensi berbahaya. Pengalaman masa lalu, perusahaan audit blockchain menjelaskan, telah menunjukkan bahwa precompiles kustom dapat semakin berbahaya di lingkungan yang tepat.
Menurut penelitian, Avalanche dan yang lainnya memiliki prakompilasi "yang memungkinkan panggilan sewenang-wenang untuk dirutekan melalui prakompilasi yang menyampaikan msg.sender." Untuk beberapa protokol, itu berarti siapa pun dapat melakukan panggilan atas nama kontrak protokol.
Statemind.io adalah perusahaan audit keamanan blockchain terkemuka dengan lebih dari 100,000 LoC pengalaman Soliditas dan Vyper. Pengalaman luas ini telah menghasilkan lebih dari $10 miliar di TVL yang diamankan dan perusahaan ditempatkan di urutan ke-14 dalam Paradigm CTF 2022. Berkat Statemind, semua “dana adalah SAFU,” dan industri cryptocurrency memiliki pahlawan topi putih baru.
Sumber: https://bitcoinist.com/statemind-avalanche-crypto-white-hat/