Исследователь безопасности обнаружил уязвимость в программном обеспечении, которая могла быть использована для кражи до 200 миллионов долларов из трех Ethereum-совместимых парачейнов на Polkadot — Moonbeam, Astar Network и Acala.
Исследователь, известный как pwning.eth, обнаружил и сообщил о критической уязвимости в июне в программном обеспечении под названием Frontier, которое используется для «обертывания» нативных токенов в трех блокчейн-проектах (или парачейнах) в сети Polkadot. Отчет был представлен на крипто-ориентированной платформе для поиска ошибок Immunefi 27 июня, но раскрыт только недавно.
«Pwning.eth обнаружил ошибку, которая повлияла на всю экосистему Polkadot и позволила хакерам украсть более 200 миллионов долларов через Moonbeam, Astar Network и Acala», — сообщил представитель Immunefi. «Все они были уязвимы к ошибке, которая могла позволить злоумышленникам майнить обернутые нативные токены».
В данном случае «обертывание» — это процесс преобразования собственных криптоактивов блокчейн в токены, которые могут быть более легко поддержаны приложениями. Это делается с помощью смарт-контракта, который хранит нативные токены в депонировании и выдает пользователю обернутые токены.
Уязвимость в трех сетях могла быть использована для выпуска неограниченного количества токенов, включая токены astar (WASTR) на Astar, токены moonbeam (WGLMR) на Moonbeam и токены moonriver (WMOVR) на Moonriver, родственной сети Moonbeam.
По данным Immunefi, оценочная стоимость активов, подверженных уязвимости, составила около 200 миллионов долларов США для всех трех парачейнов. После того как стало известно об уязвимости, команды трех парачейнов работали над ее устранением и выпустили экстренное исправление до того, как злоумышленники смогли воспользоваться ею. Никакие средства не были потеряны.
Moonbeam и Astar, которые имеют активные программы баг-баунти с Immunefi, присудили 1 миллион долларов этичному хакеру через Immunefi. Компания Parity, разработчик библиотеки Frontier Library, решила внести 250 000 долларов в качестве вознаграждения в размере 1 миллиона долларов, несмотря на то, что у Immunefi нет программы по борьбе с ошибками.
Pwning.eth — не новичок в поиске критических ошибок и получении крупных сумм. В начале 2022 года, обнаружив уязвимость в Aurora, EVM-совместимом блокчейне для протокола NEAR, хакер получил вознаграждение в размере $6 млн, сэкономив около 70 000 ETH, которые на тот момент стоили $200 млн.