Білий хакер отримав рекордну баунті-премію від Wormhole

«Щоб упіймати злочинця треба думати як злочинець». Цю істину з карного розшуку давно зрозуміли фаундери блокчейн-протоколів, тож стали запрошувати до співпраці не лише класичних розробників, а й хакерів. Тобто тих, хто мислить не з погляду інженерії, функціоналу та користувальницьких можливостей, а з позиції пошуку вразливостей та неефективностей.

Хакерів, які працюють у подібному форматі з різними компаніями, прийнято називати «білими» (як антагоністів «чорних хакерів», які займаються зломами, крадіжками та шахрайством). Wormhole зовсім недавно увійшли в історію, як проект з одним із найбільших і найгучніших експлойтів в індустрії децентралізованих фінансів: злочинцям вдалося пограбувати платформу більш ніж на $300 млн. Тому, хоч команді, на жаль, і доводиться йти шляхом власного негативного досвіду (а не «на випередження», як могло б бути), але й баунті-бонуси, які вони пропонують для білих хакерів, дуже щедрі. 11 лютого на платформі Immunefi, що спеціалізується на пошуку помилок у смарт-контрактах, з’явився грант від Wormhole на $10 млн (з виплатою у USDC). Баунті-програма мала кілька рівнів складності, від $2,5 млн до $10 млн, залежно від здатності хакера «спустошити» всю заблоковану вартість з одного або кількох ланцюжків. Учасники повинні були пройти KYC-верифікацію, хоча для самої програми хакери використовували власні нікнейми. На вирішення завдання переможцю з ніком satya0x знадобилося менше двох тижнів. Twitter-сторінка хакера була створена також у лютому, з чого можна зробити висновок, що обліковий запис було відкрито спеціально для конкурсу Wormhole. Вже 24 лютого він вказав на критичну вразливість у головному мості протоколу на Ethereum, яка полягала у можливості самоліквідації проксі на момент оновлення. Потенційно це могло призвести до блокування коштів користувачів. Проксі дозволяють вносити періодичні зміни коду, що є необхідністю навіть для таких, здавалося б, незмінних речей як смарт-контракти (зокрема – і як спосіб усунення помилок і багів, що виявляються). Таким чином, саме проксі-контракти і несуть у собі основні ризики зовнішнього втручання в код (або використання слабких місць, що існують у ньому). Команда проекту заявила, що знайдена хакером уразливість була підтверджена та усунена. Повторне тестування помилки показало, що протокол здатний убезпечити агреговані активи. Цей кейс у $10 млн став рекордним баг-баунті в історії. Для проекту, який втратив понад 300 мільйонів доларів, вирішення проблеми коштувало 3% від суми експлойту. Розмір бонусу від Wormhole може на довгий час залишатися найбільшим через явні ознаки рецесії та можливий ведмежий ринок: багато DeFi-протоколів можуть зіткнутися з проблемами ліквідності, а користувачі - зі значним «схудненням» своїх крипто-портфелів.