Port Finance, protokol pinjaman berbasis Solana, telah membayar hadiah $630,000 kepada peretas topi putih yang membantu mencegah potensi kerentanan $25 juta dari platform, perusahaan keamanan siber Halborn mengungkapkan Rabu.
Peretas menerima $ 450,000 di PORT, token utilitas yang memberi daya pada protokol pinjaman, dan $180,000 dalam bentuk fiat, menandai akhir dari program bounty proyek.
Peretas topi putih adalah peretas komputer yang menggunakan pengetahuan dan pengalaman teknis mereka untuk meningkatkan keamanan dengan mengungkap bug dan celah.
Bagaimana Terjadi
Halborn menjelaskan pada Twitter bahwa topi putih bernama nojob menemukan celah di Port Finance yang bisa menyebabkan kerugian $25 juta jika dieksploitasi oleh aktor jahat. Jika itu terjadi, Port akan menjadi korban lain dari peretasan DeFi yang tak berkesudahan di industri kripto.
Peretas topi putih menemukan bug tersebut pada bulan Maret sementara berselancar di internet dan segera melaporkannya ke platform berbasis Solana melalui ImmuneFi, sebuah platform web3 bug bounty.
Halborn mencatat bahwa serangan terhadap Port akan mungkin terjadi karena desain protokol memungkinkan "kumpulan untuk menetapkan tingkat bonus untuk melikuidasi aset dan ambang batas yang membuat pinjaman rentan terhadap likuidasi." Selain itu, protokol memungkinkan likuidator untuk menarik hingga “50% dari nilai pinjaman suatu kewajiban dan bonus yang ditunjukkan.”
Sebagian besar pemberi pinjaman DeFi cryptocurrency menawarkan pinjaman di mana rasio pinjaman terhadap nilai (LTV) kurang dari satu, yang berarti agunan lebih berharga daripada pinjaman itu sendiri. Pinjaman tersebut dapat dilikuidasi jika nilai agunannya turun terlalu rendah karena LTV yang tinggi, Halborn menjelaskan.
Misalnya, penyerang akan dapat menggunakan metode ini untuk mengeksploitasi Port Finance dengan pergi ke cadangan dengan tingkat bonus tinggi R1 dan LTV rendah, di mana nilainya dijumlahkan lebih dari 100%. Kemudian setorkan sejumlah dana ke R1 dan beberapa jumlah yang lebih besar ke R2.
Pengeksploitasi kemudian akan mengambil pinjaman dari R2, jumlah dana yang sama yang dikunci di R1, dan kemudian melangkah lebih jauh untuk menghapus agunan R2, membuat kewajiban tersebut dapat dilikuidasi.
Perusahaan keamanan siber mencatat bahwa Port Finance telah memperbaiki bug dengan “mengubah perhitungan nilai penarikan maksimum dari 50% menjadi berdasarkan hubungan antara nilai pinjaman maksimum yang diizinkan untuk suatu kewajiban, nilai pinjaman aktual, dan L2V cadangan. ”
Sementara itu, ini bukan pertama kalinya peretas topi putih diberi penghargaan karena mengidentifikasi bug. Awal tahun ini, platform perdagangan cryptocurrency terkemuka Coinbase membayar hadiah $ 250,000 kepada topi putih untuk membantu mencegah bug “nuking pasar” di bursa.
Sumber: https://coinfomania.com/port-finance-pays-white-hat-hacker-630k/#utm_source=rss&%23038;utm_medium=rss&%23038;utm_campaign=port-finance-pays-white-hat-hacker -630k