Ein Sicherheitsforscher entdeckte eine potenzielle Schwachstelle, die zum Diebstahl von bis zu 200 Millionen US-Dollar aus drei Ethereum-kompatiblen Parachains im Polkadot-Netzwerk hätte führen können: Moonbeam, Astar Network und Acala.
Die Schwachstelle wurde im Juni in Frontier gefunden, einer Software, die zum „Verpacken“ nativer Token in den drei Blockchain-Projekten im Polkadot-Netzwerk verwendet wird.
Die Teams hinter den drei Parachains arbeiteten daran, das Problem zu beheben und veröffentlichten einen Notfall-Patch, bevor böswillige Akteure ihn ausnutzen konnten, und es gingen keine Gelder verloren.
Moonbeam und Astar haben pwning.eth über Immunefi eine Belohnung von 1 Million US-Dollar zugesprochen und Parity hat 250.000 US-Dollar zur Belohnung beigetragen.
Pwning.eth wurde bereits zuvor für das Auffinden kritischer Fehler belohnt, darunter Anfang 2022 mit einer Belohnung von 6 Millionen US-Dollar für die Entdeckung einer Schwachstelle in Aurora, einer EVM-kompatiblen (Ethereum Virtual Machine) Blockchain.
Eine Software-Schwachstelle, die möglicherweise zum Diebstahl von bis zu 200 Millionen Dollar von drei Ethereum-kompatiblen Parachains im Polkadot-Netzwerk (Moonbeam, Astar Network und Acala) hätte führen können, wurde laut The Block von einem Sicherheitsforscher namens pwning.eth entdeckt. Die Schwachstelle wurde im Juni in Frontier entdeckt, einer Software, die zum „Verpacken“ nativer Token in den drei Blockchain-Projekten, auch als Parachains bekannt, im Polkadot-Netzwerk verwendet wird. Pwning.eth meldete die kritische Schwachstelle am 27. Juni auf Immunefi, einer auf Krypto spezialisierten Bug-Hunting-Plattform, aber der Bericht wurde erst kürzlich veröffentlicht.
Laut einem Vertreter von Immunefi im Gespräch mit The Block hat pwning.eth einen Fehler entdeckt, der erhebliche Auswirkungen auf das gesamte Polkadot-Ökosystem gehabt haben könnte und es Hackern möglicherweise ermöglicht hätte, über Moonbeam, Astar Network und Acala über 200 Millionen Dollar zu stehlen. Der Vertreter fügte hinzu, dass alle drei anfällig für einen Fehler waren, der es böswilligen Benutzern ermöglicht hätte, verpackte native Token zu prägen.
In der Kryptowelt bezeichnet „Wrapping“ den Prozess der Umwandlung der nativen Krypto-Assets einer Blockchain in Token, die von Apps leichter unterstützt werden können. Dies geschieht normalerweise durch die Verwendung eines Smart Contracts, der die nativen Token treuhänderisch verwaltet und die gewrappten Token an den Benutzer ausgibt. Gewrappte Token sind im Wesentlichen eine Darstellung der nativen Token, können jedoch leichter gehandelt und auf anderen Plattformen verwendet werden, die das ursprüngliche Asset möglicherweise nicht nativ unterstützen. Das Wrapping von Token kann nützlich sein, um die Liquidität und Nutzbarkeit bestimmter Assets zu erhöhen, bringt jedoch auch zusätzliche Risiken mit sich, beispielsweise die Möglichkeit von Schwachstellen im Smart Contract.
Immunefi schätzte den Wert der von der Schwachstelle betroffenen Vermögenswerte in den drei Parachains auf rund 200 Millionen US-Dollar. Die Teams hinter den drei Parachains arbeiteten daran, das Problem zu beheben, und veröffentlichten einen Notfall-Patch, bevor böswillige Akteure es ausnutzen konnten. Infolgedessen gingen keine Gelder verloren.
Moonbeam und Astar, die aktive Bug-Bounty-Programme mit Immunefi haben, haben pwning.eth über die Plattform eine Belohnung von 1 Million US-Dollar zugesprochen. Darüber hinaus hat Parity, der Entwickler der Frontier Library, beschlossen, 250.000 US-Dollar zu der Belohnung von 1 Million US-Dollar beizutragen, obwohl es kein Bug-Bounty mit Immunefi gibt. Pwning.eth wurde in der Vergangenheit bereits für das Auffinden kritischer Bugs belohnt, beispielsweise Anfang 2022, als der White-Hat-Hacker eine Belohnung von 6 Millionen US-Dollar für das Entdecken einer Schwachstelle in Aurora erhielt, einer EVM (Ethereum Virtual Machine)-kompatiblen Blockchain für das NEAR-Protokoll, wodurch etwa 70.000 ETH im damaligen Wert von 210 Millionen US-Dollar gerettet wurden.