セキュリティ研究者が、Polkadot ネットワーク上の 3 つの Ethereum 互換パラチェーン (Moonbeam、Astar Network、Acala) から最大 2 億ドルが盗まれる可能性のある潜在的な脆弱性を発見しました。
この脆弱性は、ポルカドットネットワーク上の3つのブロックチェーンプロジェクトでネイティブトークンを「ラッピング」するために使用されるソフトウェアであるFrontierで6月に発見されました。
3つのパラチェーンの背後にあるチームは問題の解決に取り組み、悪意のある人物が悪用する前に緊急パッチをリリースしたため、資金は失われませんでした。
MoonbeamとAstarはImmunefiを通じてpwning.ethに100万ドルの賞金を授与し、Parityは賞金に25万ドルを寄付した。
Pwning.ethはこれまでも重大なバグの発見に対して報酬を受けており、2022年初頭にはEVM(イーサリアム仮想マシン)互換ブロックチェーンであるAuroraの脆弱性を発見したことで600万ドルの報奨金を獲得している。
The Blockによると、Polkadotネットワーク上の3つのイーサリアム互換パラチェーン(Moonbeam、Astar Network、Acala)から最大2億ドルが盗まれる可能性があったソフトウェアの脆弱性が、pwning.ethとして知られるセキュリティ研究者によって発見された。この脆弱性は、Polkadotネットワーク上の3つのブロックチェーンプロジェクト(パラチェーンとも呼ばれる)のネイティブトークンを「ラッピング」するために使用されるソフトウェアであるFrontierで6月に発見された。Pwning.ethは、暗号通貨に特化したバグハンティングプラットフォームであるImmunefiで6月27日にこの重大な脆弱性を報告したが、このレポートはつい最近になって公開された。
Immunefiの代表者がThe Blockに語ったところによると、pwning.ethはPolkadotエコシステム全体に重大な影響を与え、ハッカーがMoonbeam、Astar Network、Acalaを通じて2億ドル以上を盗む可能性があったバグを発見したという。代表者はさらに、3つすべてがバグに対して脆弱であり、悪意のあるユーザーがラップされたネイティブトークンを鋳造できる可能性があると付け加えた。
暗号資産において、「ラッピング」とは、ブロックチェーンのネイティブ暗号資産を、アプリでより容易にサポートできるトークンに変換するプロセスを指します。これは通常、スマート コントラクトを使用して行われます。スマート コントラクトはネイティブ トークンをエスクローで保持し、ラップされたトークンをユーザーに発行します。ラップされたトークンは基本的にネイティブ トークンの表現ですが、元の資産をネイティブでサポートしていない可能性のある他のプラットフォームでより簡単に取引および使用できます。ラッピング トークンは、特定の資産の流動性と使いやすさを向上させるのに役立ちますが、スマート コントラクトの脆弱性の可能性など、追加のリスクも生じます。
Immunefi は、この脆弱性にさらされた資産の価値は、3 つのパラチェーン全体で約 2 億ドルであると推定しました。3 つのパラチェーンの背後にあるチームは問題の修正に取り組み、悪意のある人物がこれを悪用する前に緊急パッチをリリースしたため、結果として資金の損失はありませんでした。
Immunefiとバグ報奨金プログラムを積極的に実施しているMoonbeamとAstarは、同プラットフォームを通じてpwning.ethに100万ドルの報奨金を授与した。さらに、Frontier Libraryの開発元であるParityは、Immunefiとのバグ報奨金プログラムを実施していないにもかかわらず、100万ドルの報奨金に25万ドルを寄付することを決定した。Pwning.ethは、過去にも重大なバグの発見に対して報奨金を受けており、例えば2022年初頭には、ホワイトハットハッカーがNEARプロトコルのEVM(イーサリアム仮想マシン)互換ブロックチェーンであるAuroraの脆弱性を発見したことで600万ドルの報奨金を受け、当時2億1000万ドル相当の約7万ETHを救った。