Хакер из «Белой шляпы» заплатил самую крупную, по сообщениям, премию DeFi.
Belt Finance, протокол автоматизированного маркет-мейкера (AMM), использующий стратегию оптимизации доходности в смарт-цепочке Binance (BSC), утверждает, что заплатил самую большую награду в истории децентрализованных финансов (DeFi) хакеру в белой шляпе, который предотвратил кризис ошибок в размере 10 миллионов долларов.
Отраслевой программист в белой шляпе Александр Шлиндвейн обнаружил уязвимость в протоколе Belt Finance на этой неделе и сообщил об этом команде. За свои усилия Шлиндвейн получил щедрую компенсацию в размере 1,05 миллиона долларов, большая часть которой (1 миллион долларов) была предоставлена Immunefi, а дополнительные 50 000 долларов были предложены программой Binance Smart Chain Priority One
.
Immunefi является одним из лидеров рынка в области безопасности программного обеспечения для криптовалютных проектов. С момента своего создания платформа, как сообщается, выплатила более 3 миллионов долларов хакерам из «белой шляпы», которые успешно выявили недостатки технической инфраструктуры в смарт-контрактах и криптоплатформах.
Приоритетом номер один является инициатива BSC, запущенная в июле для повышения безопасности децентрализованных приложений (DApp) в собственной экосистеме платформы. Отражая структуру Immunefi, сервис предоставляет поощрительный фонд в размере 10 миллионов долларов охотникам за головами на блокчейне, которые успешно способствуют предотвращению нарушений безопасности в 100 приложениях dApps.
Шлиндвейн рассказал о том, как он обнаружил уязвимость:
“Я просмотрел список наград за ошибки в Immunefi и выбрал Belt Finance в качестве следующего для работы. Пока я изучал их смарт-контракты, я заметил потенциальную ошибку во внутренней бухгалтерии, которая отслеживает внесенные средства каждого пользователя. Воспроизведение атаки с помощью ручки и бумаги придало мне больше уверенности в существовании ошибки. Я продолжил, представив надлежащее доказательство концепции [PoC], которое, несомненно, подтвердило ее обоснованность и экономический ущерб”.
“Следующим шагом было создание официального отчета об Immunefi, включая PoC и подробное описание эксплойта“, — сказал Шлиндвейн, добавив: “Immunefi немедленно отреагировал на критический отчет, и в течение трех минут после его представления он был передан команде Пояса. Вскоре после этого Belt подтвердил достоверность отчета и начал внедрять исправление, которое затем исправило уязвимость”.
Хотя нарушения безопасности DeFi по-прежнему вызывают серьезную озабоченность, некоторые утверждают, что зарождающаяся экосистема выиграет от таких инцидентов в долгосрочной перспективе, поскольку четко обозначены слабые места.
У Шлиндвейна поинтересовались его мнением о важности программ вознаграждений в поддержке антихрупких амбиций DeFi:
“Я твердо убежден в важности вознаграждений за ошибки и инициатив, таких как благотворительные фонды. Безопасность DeFi состоит из нескольких уровней, начиная с экспертной оценки и модульного тестирования и заканчивая внешними аудитами и формальной проверкой. Награды за ошибки-это последняя линия защиты, если проблема проскользнет через вышележащие слои, что может предотвратить разрушительный взлом, а вместо этого серьезно исправит проблему и компенсирует искателю”.
