Belt Finance, en automatisert market maker (AMM) protokoll som driver en avkastningsoptimaliseringsstrategi på Binance Smart Chain (BSC), hevder å ha betalt den største dusøren i historien til desentralisert finans (DeFi) til en whitehat hacker som avverget en feil på 10 millioner dollar krise.
Industri whitehat-programmerer Alexander Schlindwein oppdaget sårbarheten i Belt Finances protokoll denne uken og rapporterte nyhetene til teamet. For sin innsats mottok Schlindwein en sjenerøs kompensasjon på 1.05 millioner dollar, hvorav størstedelen (1 million dollar) ble gitt av Immunefi, med de ekstra 50,000 XNUMX dollar som tilbys av Binance Smart Chains Priority One-program.
Immunefi er en av markedslederne innen programvaresikkerhet for kryptovalutaprosjekter. Siden starten har plattformen angivelig utbetalt i overkant av $3 millioner til whitehat-hackere som har identifisert tekniske infrastrukturfeil i smarte kontrakter og kryptoplattformer.
Priority One er et BSC-initiativ som ble lansert i juli for å forbedre sikkerheten til dApps innenfor plattformens opprinnelige økosystem. Tjenesten gjenspeiler strukturen til Immunefi, og gir et insentivfond på 10 millioner dollar til dusørjegere på blokkjede som med suksess bidrar til å unngå sikkerhetsbrudd på tvers av 100 dApps.
Alexander Schlindwein fortalte Cointelegraph om hvordan han oppdaget sårbarheten:
«Jeg gikk gjennom listen over feilpremier på Immunefi og valgte Belt Finance som den neste å jobbe med. Mens jeg studerte de smarte kontraktene deres, la jeg merke til en potensiell feil i den interne bokføringen som holder styr på hver brukers innskudd. Å spille gjennom angrepet med penn og papir ga meg mer tillit til at feilen eksisterer. Jeg fortsatte med å produsere et skikkelig proof-of-concept som utvilsomt bekreftet dets gyldighet og økonomiske skade.»
"Neste trinn var å lage en offisiell rapport om Immunefi inkludert PoC og en omfattende beskrivelse av utnyttelsen," sa Schlindwein og la til, "Immunefi reagerte umiddelbart på den kritiske rapporten og innen tre minutter etter innsending ble den eskalert til beltet team. Kort tid etter bekreftet Belt gyldigheten av rapporten og begynte å implementere en reparasjon som deretter lappet sikkerhetsproblemet.»
Relatert: Den perfekte stormen: DeFi-hack vil fremme kryptosektoren fremover
Selv om DeFis sikkerhetsbrudd fortsatt er en utbredt bekymring, har det blitt hevdet av noen at det begynnende økosystemet vil dra nytte av slike hendelser på lang sikt, ettersom områder med svakheter er sterkt fremhevet.
Cointelegraph spurte Schlindwein om hans perspektiv på viktigheten av dusørprogrammer for å støtte DeFis antiskjøre ambisjoner:
"Jeg er sterkt overbevist om viktigheten av bug-premier og initiativer som dusørfond. DeFi-sikkerhet består av flere lag, som starter med fagfellevurdering og enhetstesting til eksterne revisjoner og formell verifisering. Bug-premier er den siste forsvarslinjen hvis et problem skulle slippe gjennom de overliggende lagene med potensial til å forhindre et ødeleggende hack, samtidig som det seriøst fikser problemet og kompenserer finneren.»
"Bug-premier i DeFi har vært et sjeldent syn før Immunefi eksisterte, bare tilbudt av "Crème de la Crème" av prosjekter. Det er flott å se hundrevis av prosjekter som lanserer sin bug-bounty nå for tiden, noe som helt sikkert vil bringe DeFi-sikkerheten fremover i det lange løp,” konkluderte Schlindwein.
Kilde: https://cointelegraph.com/news/white-hat-hacker-paid-defi-s-largest-reported-bounty-fee