Belt Finance, ein Automated Market Maker (AMM)-Protokoll, das eine Ertragsoptimierungsstrategie auf Binance Smart Chain (BSC) betreibt, behauptet, das größte Kopfgeld in der Geschichte der dezentralen Finanzierung (DeFi) an einen White-Hat-Hacker gezahlt zu haben, der einen 10-Millionen-Dollar-Bug abgewendet hat Krise.
Der Branchen-Whitehat-Programmierer Alexander Schlindwein entdeckte diese Woche die Schwachstelle im Protokoll von Belt Finance und meldete die Neuigkeiten dem Team. Für seine Bemühungen erhielt Schlindwein eine großzügige Entschädigung in Höhe von 1.05 Millionen US-Dollar, von denen der Großteil (1 Million US-Dollar) von Immunefi gewährt wurde, wobei die zusätzlichen 50,000 US-Dollar durch das Priority One-Programm von Binance Smart Chain bereitgestellt wurden.
Immunefi ist einer der Marktführer im Bereich Softwaresicherheit für Kryptowährungsprojekte. Berichten zufolge hat die Plattform seit ihrer Gründung mehr als 3 Millionen US-Dollar an Whitehat-Hacker ausgezahlt, die erfolgreich technische Infrastrukturmängel in Smart Contracts und Kryptoplattformen identifiziert haben.
Priority One ist eine BSC-Initiative, die im Juli gestartet wurde, um die Sicherheit von dApps innerhalb des nativen Ökosystems der Plattform zu verbessern. Der Dienst spiegelt die Struktur von Immunefi wider und stellt Blockchain-Kopfgeldjägern, die erfolgreich zur Vermeidung von Sicherheitsverletzungen in 10 dApps beitragen, einen Anreizfonds in Höhe von 100 Millionen US-Dollar zur Verfügung.
Alexander Schlindwein erzählte Cointelegraph, wie er die Sicherheitslücke entdeckte:
„Ich habe die Liste der Fehlerprämien auf Immunefi durchgesehen und Belt Finance als nächstes ausgewählt, an dem ich arbeiten möchte. Während ich ihre Smart Contracts studierte, bemerkte ich einen potenziellen Fehler in der internen Buchhaltung, die die eingezahlten Gelder jedes Benutzers verfolgt. Das Durchspielen des Angriffs mit Stift und Papier gab mir mehr Vertrauen in die Existenz des Fehlers. Ich fuhr fort, indem ich einen ordnungsgemäßen Proof-of-Concept vorlegte, der zweifellos seine Gültigkeit und seinen wirtschaftlichen Schaden bestätigte.“
„Der nächste Schritt bestand darin, einen offiziellen Bericht über Immunefi zu erstellen, einschließlich des PoC und einer ausführlichen Beschreibung des Exploits“, sagte Schlindwein und fügte hinzu: „Immunefi reagierte sofort auf den kritischen Bericht und innerhalb von drei Minuten nach der Übermittlung wurde er an den Gürtel eskaliert.“ Team. Kurz darauf bestätigte Belt die Gültigkeit des Berichts und begann mit der Implementierung eines Fixes, der dann die Schwachstelle behebt.“
Verwandt: Der perfekte Sturm: DeFi-Hacks werden den Kryptosektor voranbringen
Obwohl die Sicherheitsverletzungen bei DeFi weiterhin ein weit verbreitetes Problem darstellen, wurde von einigen argumentiert, dass das entstehende Ökosystem langfristig von solchen Vorfällen profitieren wird, da Schwachstellen deutlich hervorgehoben werden.
Cointelegraph fragte Schlindwein nach seiner Meinung zur Bedeutung von Kopfgeldprogrammen für die Unterstützung der antifragilen Ambitionen von DeFi:
„Ich bin fest von der Bedeutung von Bug Bounties und Initiativen wie Bounty Funds überzeugt. Die DeFi-Sicherheit besteht aus mehreren Ebenen, angefangen bei Peer-Review und Unit-Tests bis hin zu externen Audits und formaler Verifizierung. Bug Bounties sind die letzte Verteidigungslinie, falls ein Problem durch die darüber liegenden Ebenen schlüpft, mit dem Potenzial, einen verheerenden Hack zu verhindern und stattdessen das Problem ernsthaft zu beheben und den Finder zu entschädigen.“
„Bug Bounties in DeFi waren vor der Existenz von Immunefi ein seltener Anblick und wurden nur von der ‚Crème de la Crème‘ der Projekte angeboten. „Es ist großartig zu sehen, dass heutzutage Hunderte von Projekten ihr Bug-Bounty starten, was die DeFi-Sicherheit auf lange Sicht sicherlich voranbringen wird“, schloss Schlindwein.
Quelle: https://cointelegraph.com/news/white-hat-hacker-paid-defi-s-largest-reported-bounty-fee