Um pesquisador de segurança descobriu uma vulnerabilidade potencial que poderia ter resultado no roubo de até US$ 200 milhões de três parachains compatíveis com Ethereum na rede Polkadot: Moonbeam, Astar Network e Acala.
A vulnerabilidade foi encontrada em junho no Frontier, um software usado para “embrulhar” tokens nativos nos três projetos de blockchain da rede Polkadot.
As equipes por trás dos três parachains trabalharam para corrigir o problema e lançaram um patch de emergência antes que qualquer agente mal-intencionado pudesse explorá-lo, e nenhum dinheiro foi perdido.
Moonbeam e Astar concederam ao pwning.eth uma recompensa de US$ 1 milhão por meio da Immunefi, e a Parity contribuiu com US$ 250.000 para a recompensa.
Pwning.eth já foi recompensado por encontrar bugs críticos, incluindo uma recompensa de US$ 6 milhões no início de 2022 por descobrir uma vulnerabilidade no Aurora, um blockchain compatível com EVM (Ethereum Virtual Machine).
Uma vulnerabilidade de software que poderia ter resultado potencialmente no roubo de até US$ 200 milhões de três parachains compatíveis com Ethereum na rede Polkadot (Moonbeam, Astar Network e Acala) foi descoberta por um pesquisador de segurança conhecido como pwning.eth, de acordo com o The Block. A vulnerabilidade foi encontrada em junho no Frontier, software usado para “embrulhar” tokens nativos nos três projetos de blockchain, também conhecidos como parachains, na rede Polkadot. Pwning.eth relatou a vulnerabilidade crítica no Immunefi, uma plataforma de caça a bugs com foco em criptografia, em 27 de junho, mas o relatório só foi tornado público recentemente.
De acordo com um representante da Immunefi falando ao The Block, pwning.eth descobriu um bug que poderia ter tido um impacto significativo em todo o ecossistema Polkadot e potencialmente permitido que hackers roubassem mais de US$ 200 milhões em Moonbeam, Astar Network e Acala. O representante acrescentou que todos os três eram vulneráveis a um bug que poderia permitir que usuários mal-intencionados cunhassem tokens nativos empacotados.
Na criptografia, “wrapping” refere-se ao processo de conversão dos ativos criptográficos nativos de uma blockchain em tokens que podem ser mais facilmente suportados pelos aplicativos. Isso normalmente é feito por meio do uso de um contrato inteligente, que mantém os tokens nativos em depósito e os emite ao usuário. Os tokens empacotados são essencialmente uma representação dos tokens nativos, mas podem ser mais facilmente negociados e usados em outras plataformas que podem não suportar nativamente o ativo original. Os tokens de empacotamento podem ser úteis para aumentar a liquidez e a usabilidade de certos ativos, mas também introduz riscos adicionais, como a possibilidade de vulnerabilidades de contratos inteligentes.
A Immunefi estimou que o valor dos ativos expostos à vulnerabilidade era de cerca de US$ 200 milhões nas três parachains. As equipes por trás dos três parachains trabalharam para corrigir o problema e lançaram um patch de emergência antes que qualquer agente mal-intencionado pudesse explorá-lo e, como resultado, nenhum dinheiro foi perdido.
Moonbeam e Astar, que têm programas ativos de recompensa por bugs com a Immunefi, concederam ao pwning.eth uma recompensa de US$ 1 milhão por meio da plataforma. Além disso, a Parity, desenvolvedora da Frontier Library, decidiu contribuir com US$ 250.000 para a recompensa de US$ 1 milhão, apesar de não ter uma recompensa por bug com o Immunefi. Pwning.eth já foi recompensado por encontrar bugs críticos no passado, como no início de 2022, quando o hacker de chapéu branco recebeu uma recompensa de US$ 6 milhões por descobrir uma vulnerabilidade no Aurora, um blockchain compatível com EVM (Ethereum Virtual Machine) para protocolo NEAR , que economizou aproximadamente 70.000 ETH no valor de US$ 210 milhões na época.