Belt Finance, un protocollo di market maker automatizzato (AMM) che gestisce una strategia di ottimizzazione del rendimento su Binance Smart Chain (BSC), afferma di aver pagato la taglia più grande nella storia della finanza decentralizzata (DeFi) a un hacker whitehat che ha evitato un bug da 10 milioni di dollari crisi.
Il programmatore whitehat del settore Alexander Schlindwein ha scoperto la vulnerabilità nel protocollo di Belt Finance questa settimana e ha segnalato la notizia al team. Per i suoi sforzi, Schlindwein ha ricevuto un generoso compenso di 1.05 milioni di dollari, la maggior parte del quale (1 milione di dollari) è stata concessa da Immunefi, con ulteriori 50,000 dollari offerti dal programma Priority One di Binance Smart Chain.
Immunefi è uno dei leader di mercato nella sicurezza del software per progetti di criptovaluta. Sin dal suo inizio, secondo quanto riferito, la piattaforma ha pagato oltre 3 milioni di dollari agli hacker whitehat che hanno identificato con successo difetti dell'infrastruttura tecnica nei contratti intelligenti e nelle piattaforme crittografiche.
Priority One è un'iniziativa BSC lanciata a luglio per migliorare la sicurezza delle dApp all'interno dell'ecosistema nativo della piattaforma. Rispecchiando la struttura di Immunefi, il servizio fornisce un fondo di incentivi di 10 milioni di dollari ai cacciatori di taglie blockchain che contribuiscono con successo a evitare violazioni della sicurezza su 100 dApp.
Alexander Schlindwein ha raccontato a Cointelegraph come ha scoperto la vulnerabilità:
“Ho esaminato l'elenco dei bug bounties su Immunefi e ho scelto Belt Finance come prossimo su cui lavorare. Mentre studiavo i loro contratti intelligenti ho notato un potenziale bug nella contabilità interna che tiene traccia dei fondi depositati da ciascun utente. Riprodurre l'attacco con carta e penna mi ha dato più fiducia nell'esistenza dell'insetto. Ho continuato producendo un vero e proprio proof-of-concept che ne ha indubbiamente confermato la validità e il danno economico”.
"Il passo successivo è stato creare un rapporto ufficiale su Immunefi che includesse il PoC e un'ampia descrizione dell'exploit", ha affermato Schlindwein, aggiungendo: "Immunefi ha reagito immediatamente al rapporto critico ed entro tre minuti dalla presentazione, è stato inoltrato alla Belt". squadra. Poco dopo, Belt ha confermato la validità del rapporto e ha iniziato a implementare una soluzione che ha poi corretto la vulnerabilità.
Correlato: La tempesta perfetta: gli hack DeFi faranno avanzare il settore delle criptovalute
Sebbene le violazioni della sicurezza della DeFi rimangano una preoccupazione prevalente, alcuni sostengono che il nascente ecosistema trarrà beneficio da tali incidenti a lungo termine, poiché le aree di debolezza sono chiaramente evidenziate.
Cointelegraph ha chiesto a Schlindwein il suo punto di vista sull'importanza dei programmi bounty nel sostenere le ambizioni antifragili della DeFi:
“Sono fortemente convinto dell’importanza dei bug bounty e di iniziative come i bounty fund. La sicurezza DeFi è costituita da più livelli, a partire dalla revisione tra pari e dai test unitari fino agli audit esterni e alla verifica formale. I bug bounties sono l’ultima linea di difesa nel caso in cui un problema sfugga agli strati sovrastanti con il potenziale di prevenire un hack devastante risolvendo invece seriamente il problema e risarcindo chi lo trova”.
“I bug bounty nella DeFi erano uno spettacolo raro prima che esistesse Immunefi, offerti solo dalla ‘Crème de la Crème’ dei progetti. È bello vedere centinaia di progetti lanciare oggigiorno il loro bug bounty, che sicuramente porterà avanti la sicurezza DeFi a lungo termine", ha concluso Schlindwein.
Fonte: https://cointelegraph.com/news/white-hat-hacker-paid-defi-s-largest-reported-bounty-fee