Belt Finance, ein automatisiertes Market Maker (AMM)-Protokoll, das eine Ertragsoptimierungsstrategie auf Binance Smart Chain (BSC) betreibt, behauptet, einem White-Hat-Hacker, der eine Millionen-Bug-Krise.
Der Branchen-White-Hat-Programmierer Alexander Schlindwein hat diese Woche die Schwachstelle im Protokoll von Belt Finance entdeckt und die Nachricht dem Team gemeldet. Für seine Bemühungen erhielt Schlindwein eine großzügige Entschädigung von 1,05 Millionen US-Dollar, von denen der Großteil (1 Million US-Dollar) von Immunefi gewährt wurde, mit den zusätzlichen 50.000 US-Dollar, die vom Priority One-Programm von Binance Smart Chain angeboten wurden.
Immunefi ist einer der Marktführer im Bereich Softwaresicherheit für Kryptowährungsprojekte. Seit ihrer Gründung hat die Plattform Berichten zufolge mehr als 3 Millionen US-Dollar an White-Hat-Hacker ausgezahlt, die erfolgreich technische Infrastrukturfehler in Smart Contracts und Krypto-Plattformen identifiziert haben.
Priority One ist eine BSC-Initiative, die im Juli gestartet wurde, um die Sicherheit dezentraler Anwendungen (DApp) innerhalb des nativen Ökosystems der Plattform zu verbessern. Der Dienst spiegelt die Struktur von Immunefi wider und bietet Blockketten-Kopfgeldjägern, die erfolgreich zur Vermeidung von Sicherheitsverletzungen in 100 DApps beitragen, einen Anreizfonds in Höhe von 10 Millionen US-Dollar.
Schlindwein erzählte Cointelegraph, wie er die Schwachstelle entdeckte:
„Ich ging die Liste der Bug Bounties auf Immunefi durch und wählte Belt Finance als nächstes aus, an dem ich arbeiten musste. Während ich ihre Smart Contracts studierte, bemerkte ich einen möglichen Fehler in der internen Buchhaltung, die die eingezahlten Gelder jedes Benutzers verfolgt. Das Durchspielen des Angriffs mit Stift und Papier gab mir mehr Vertrauen in die Existenz des Käfers. Ich fuhr fort, indem ich einen richtigen Proof-of-Concept erstellte [PoC] was zweifellos seine Gültigkeit und seinen wirtschaftlichen Schaden bestätigt hat.“
„Der nächste Schritt bestand darin, einen offiziellen Bericht über Immunefi zu erstellen, einschließlich des PoC und einer ausführlichen Beschreibung des Exploits“, sagte Schlindwein und fügte hinzu: „Immunefi reagierte sofort auf den kritischen Bericht und wurde innerhalb von drei Minuten nach der Einreichung an den . eskaliert Gürtel-Team. Kurz darauf bestätigte Belt die Gültigkeit des Berichts und begann mit der Implementierung eines Fixes, der dann die Schwachstelle behob.“
Verwandt: Der perfekte Sturm: DeFi-Hacks werden den Krypto-Sektor voranbringen
Obwohl die Sicherheitsverletzungen von DeFi nach wie vor ein weit verbreitetes Problem darstellen, wurde von einigen argumentiert, dass das entstehende Ökosystem langfristig von solchen Vorfällen profitieren wird, da Schwachstellen deutlich hervorgehoben werden.
Cointelegraph fragte Schlindwein nach seiner Perspektive zur Bedeutung von Kopfgeldprogrammen zur Unterstützung der antifragilen Ambitionen von DeFi:
„Ich bin fest von der Bedeutung von Bug Bounties und Initiativen wie Bounty Funds überzeugt. Die DeFi-Sicherheit besteht aus mehreren Ebenen, beginnend mit Peer-Review und Unit-Tests bis hin zu externen Audits und formaler Verifizierung. Bug Bounties sind die letzte Verteidigungslinie, sollte ein Problem durch die darüber liegenden Schichten rutschen, mit dem Potenzial, einen verheerenden Hack zu verhindern, während das Problem stattdessen ernsthaft behoben und der Finder entschädigt wird.“
„Bug Bounties in DeFi waren vor der Existenz von Immunefi ein seltener Anblick, der nur von der Crème de la Crème der Projekte angeboten wurde. Es ist großartig zu sehen, wie Hunderte von Projekten heutzutage ihre Bug-Bounty starten, was die DeFi-Sicherheit auf lange Sicht sicherlich voranbringen wird“, schloss Schlindwein.