Belt Finance, un protocole de teneur de marché automatisé (AMM) exploitant une stratégie d'optimisation du rendement sur Binance Smart Chain (BSC), prétend avoir versé la plus grande prime de l'histoire de la finance décentralisée (DeFi) à un pirate informatique qui a évité un bug de 10 millions de dollars. crise.
Alexander Schlindwein, programmeur blanc de l'industrie, a découvert cette semaine la vulnérabilité du protocole de Belt Finance et a rapporté la nouvelle à l'équipe. Pour ses efforts, Schlindwein a reçu une généreuse compensation de 1.05 million de dollars, dont la majorité (1 million de dollars) a été accordée par Immunefi, avec les 50,000 XNUMX dollars supplémentaires offerts par le programme Priority One de Binance Smart Chain.
Immunefi est l'un des leaders du marché de la sécurité logicielle pour les projets de crypto-monnaie. Depuis sa création, la plateforme aurait versé plus de 3 millions de dollars à des pirates informatiques qui ont réussi à identifier les failles de l'infrastructure technique des contrats intelligents et des plateformes de cryptographie.
Priority One est une initiative BSC lancée en juillet pour améliorer la sécurité des dApp au sein de l'écosystème natif de la plateforme. Reflétant la structure d'Immunefi, le service fournit un fonds d'incitation de 10 millions de dollars aux chasseurs de primes blockchain qui contribuent avec succès à éviter les failles de sécurité dans 100 dApps.
Alexander Schlindwein a expliqué à Cointelegraph comment il a découvert la vulnérabilité :
«J'ai parcouru la liste des bug bounties sur Immunefi et j'ai choisi Belt Finance comme prochain sur lequel travailler. Pendant que j’étudiais leurs contrats intelligents, j’ai remarqué un bug potentiel dans la comptabilité interne qui assure le suivi des fonds déposés par chaque utilisateur. Jouer l'attaque avec un stylo et du papier m'a donné plus de confiance dans l'existence du bug. J’ai continué en produisant une preuve de concept appropriée qui a sans aucun doute confirmé sa validité et ses dommages économiques.
« L'étape suivante consistait à créer un rapport officiel sur Immunefi incluant le PoC et une description détaillée de l'exploit », a déclaré Schlindwein, ajoutant : « Immunefi a immédiatement réagi au rapport critique et dans les trois minutes suivant sa soumission, il a été transmis à la Belt. équipe. Peu de temps après, Belt a confirmé la validité du rapport et a commencé à mettre en œuvre un correctif qui a ensuite corrigé la vulnérabilité.
En relation: La tempête parfaite : les hacks DeFi feront progresser le secteur de la cryptographie
Bien que les failles de sécurité de DeFi restent une préoccupation répandue, certains ont fait valoir que l’écosystème naissant bénéficierait de tels incidents à long terme, car les zones de faiblesses sont clairement mises en évidence.
Cointelegraph a demandé à Schlindwein son point de vue sur l'importance des programmes de primes pour soutenir les ambitions antifragile de DeFi :
« Je suis fermement convaincu de l’importance des bug bounties et des initiatives telles que les fonds de primes. La sécurité DeFi se compose de plusieurs couches, depuis l'examen par les pairs et les tests unitaires jusqu'aux audits externes et à la vérification formelle. Les primes aux bogues constituent la dernière ligne de défense si un problème passe à travers les couches sus-jacentes, avec le potentiel d'empêcher un piratage dévastateur tout en résolvant sérieusement le problème et en indemnisant le chercheur.
« Les primes aux bugs dans DeFi étaient un spectacle rare avant qu'Immunefi n'existe, offertes uniquement par la « Crème de la Crème » des projets. C'est formidable de voir des centaines de projets lancer leur bug bounty aujourd'hui, ce qui fera certainement progresser la sécurité DeFi à long terme », a conclu Schlindwein.
Source : https://cointelegraph.com/news/white-hat-hacker-paid-defi-s-largest-reported-bounty-fee