Hacker mũ trắng đã trả khoản tiền thưởng được báo cáo lớn nhất của DeFi

Belt Finance, một nhà tạo lập thị trường tự động (AMM) giao thức vận hành chiến lược tối ưu hóa lợi nhuận trên Binance Smart Chain (BSC), tuyên bố đã trả khoản tiền thưởng lớn nhất trong lịch sử tài chính phi tập trung (DeFi) cho một hacker mũ trắng, người đã trục lợi $ 10- khủng hoảng triệu lỗi. Lập trình viên mũ trắng Alexander Schlindwein trong ngành đã phát hiện ra lỗ hổng trong giao thức của Belt Finance trong tuần này và báo cáo tin tức cho nhóm. Đối với những nỗ lực của mình, Schlindwein đã nhận được một khoản bồi thường hào phóng trị giá 1,05 triệu đô la, phần lớn (1 triệu đô la) được cấp bởi Immunefi, với 50.000 đô la bổ sung được cung cấp bởi chương trình Ưu tiên Một của Binance Smart Chain. Immunefi là một trong những công ty hàng đầu thị trường về bảo mật phần mềm cho các dự án tiền điện tử. Kể từ khi thành lập, nền tảng này được cho là đã trả hơn 3 triệu đô la cho các hacker mũ trắng, những người đã xác định thành công các lỗi cơ sở hạ tầng kỹ thuật trong các hợp đồng thông minh và nền tảng tiền điện tử. Ưu tiên Một là một sáng kiến ​​BSC được đưa ra vào tháng 7 nhằm tăng cường bảo mật cho các ứng dụng phi tập trung (DApp) trong hệ sinh thái gốc của nền tảng. Phản ánh cấu trúc của Immunefi, dịch vụ cung cấp quỹ khuyến khích trị giá 10 triệu đô la cho những người săn tiền thưởng blockchain, những người đóng góp thành công vào việc tránh vi phạm bảo mật trên 100 DApp. Schlindwein nói với Cointelegraph về cách anh ấy phát hiện ra lỗ hổng bảo mật:

“Tôi đã xem qua danh sách các phần thưởng lỗi trên Immunefi và chọn Belt Finance làm công việc tiếp theo. Trong khi tôi đang nghiên cứu các hợp đồng thông minh của họ, tôi đã nhận thấy một lỗi tiềm ẩn trong sổ sách kế toán nội bộ, theo dõi các khoản tiền đã gửi của mỗi người dùng. Chơi cuộc tấn công bằng bút và giấy giúp tôi tin tưởng hơn vào sự tồn tại của con bọ. Tôi tiếp tục bằng cách tạo ra một bằng chứng khái niệm [PoC] thích hợp, chắc chắn đã xác nhận tính hợp lệ và thiệt hại kinh tế của nó. ”

“Bước tiếp theo là tạo một báo cáo chính thức về Immunefi bao gồm PoC và một mô tả sâu rộng về việc khai thác,” Schlindwein nói và nói thêm, “Immunefi đã phản ứng ngay lập tức với báo cáo quan trọng và trong vòng ba phút sau khi gửi, nó đã được chuyển lên Đội vành đai. Ngay sau đó, Belt đã xác nhận tính hợp lệ của báo cáo và bắt đầu thực hiện bản sửa lỗi, sau đó sẽ vá lỗ hổng bảo mật ”.

Liên quan: Cơn bão hoàn hảo: Các vụ hack DeFi sẽ thúc đẩy lĩnh vực tiền điện tử tiến lên

Mặc dù vi phạm bảo mật của DeFi vẫn là mối quan tâm phổ biến, nhưng một số người đã lập luận rằng hệ sinh thái non trẻ sẽ được hưởng lợi từ những sự cố như vậy trong dài hạn, vì các khu vực yếu kém rõ ràng nhấn mạnh. Cointelegraph đã hỏi Schlindwein quan điểm của ông về tầm quan trọng của các chương trình tiền thưởng trong việc hỗ trợ tham vọng chống phân mảnh của DeFi:

“Tôi bị thuyết phục mạnh mẽ về tầm quan trọng của tiền thưởng lỗi và các sáng kiến ​​như quỹ tiền thưởng. Bảo mật DeFi bao gồm nhiều lớp, bắt đầu với đánh giá ngang hàng và thử nghiệm đơn vị cho đến đánh giá bên ngoài và xác minh chính thức. Tiền thưởng lỗi là hàng phòng thủ cuối cùng nếu một vấn đề lọt qua các lớp bên trên với khả năng ngăn chặn một vụ hack tàn khốc trong khi thay vào đó khắc phục sự cố một cách nghiêm túc và bồi thường cho người tìm thấy. “

“Tiền thưởng lỗi trong DeFi là một cảnh hiếm thấy trước khi Immunefi tồn tại, chỉ được cung cấp bởi ‘Crème de la Crème’ của các dự án. Thật tuyệt khi thấy hàng trăm dự án tung ra tiền thưởng lỗi của họ ngày nay, điều này chắc chắn sẽ mang lại khả năng bảo mật DeFi về lâu dài, ”Schlindwein kết luận.