La piattaforma di staking ETH 2.0 scopre un bug multimilionario nel codice dei rivali

Martedì è Dichiarazione informativa una vulnerabilità di ETH 2.0 picchettamento Il servizio StakeWise potrebbe aver salvato milioni di dollari in ETH che erano a rischio nei protocolli di staking rivali Lido e Rocket Pool.

La Dichiarazione informativa è avvenuta mentre la comunità Ethereum si prepara a un passaggio da un prova di lavoroconsenso aprova di partecipazione– la conversione più grande e tecnicamente più complessa del suo genere nella storia della blockchain con oltre20 miliardi di dollari in ETH puntati sulla linea.

Lo staff di StakeWise ha segnalato la Dichiarazione informativa su Twitter, osservando che cappello bianco A segnalare la vulnerabilità è stato Dmitri Tsumak, ONE dei co-fondatori del protocollo.

La tempistica è fortuita, perché Rocket Pool avrebbe dovuto lanciare la sua mainnet entro 24 ore. Il progetto ha posticipato il lancio finché la correzione non sarà a posto.

Tsumak ha detto a CoinDesk di aver concordato con Immunefi, Lido e Rocket Pool di astenersi dal rivelare la natura esatta del bug mentre le piattaforme interessate lavorano su una patch, ma sia Lido che Rocket Pool stanno pianificando di erogare la massima ricompensa consentita da Immunefi di $ 100.000, indicando un bug di "gravità critica", secondo il co-fondatore di StakeWise Kirill Kutakov.

Inizialmente Tsumak contattò Rocket Pool per informarlo della vulnerabilità e, quando divenne chiaro che altri protocolli avrebbero potuto presentare lo stesso bug, decise di contattare anche la piattaforma di ricompensa Immunefi e Lido.

"Non appena ho segnalato la cosa a Rocket Pool, abbiamo parlato di chi altro avrebbe potuto essere coinvolto e, nel caso di Lido, hanno visto lo stesso problema con un'interpretazione BIT diversa", ha affermato Tsumak.

Un thread di tweet di Lido ha menzionato che "sotto i 100" ETH era vulnerabile martedì, ma un Dichiarazione informativa della vulnerabilità pubblicato oggi affermava che erano a rischio più di 20.000 ETH per un valore di 72 milioni di dollari.

In entrambi i casi, il bug ha consentito ai validatori o agli operatori dei nodi di prosciugare i fondi dei depositanti, un difetto nel modo in cui i validatori vengono registrati con ETH 2.0.

Al momento in cui andiamo in stampa, Lido non ha risposto alla Request di commento.

"Rocket Pool è lieta che il suo programma bug bounty abbia portato alla Da scoprire di un grave exploit che ha interessato più provider di staking. In linea con la Dichiarazione informativa responsabile, abbiamo lavorato con il nostro programma bug bounty (Immunefi) per avvisare rapidamente gli altri team. Abbiamo esteso i nostri più sentiti ringraziamenti a Dmitri per aver segnalato l'exploit", ha affermato il manager Rocket Pool Darren Langley in una dichiarazione a CoinDesk.

Inoltre, secondo alcune conversazioni sull'app di messaggistica Discord, la comunità Rocket Pool sta pianificando un drop di token non fungibili (NFT) per la comunità di StakeWise per commemorare l'evento.

Kutakov ha affermato che la decisione di avvisare i concorrenti della piattaforma è stata ONE.

"T augureremmo questa vulnerabilità ai nostri concorrenti, ed è per questo che abbiamo adottato la strada amichevole e li abbiamo informati prima del lancio", ha affermato.

Revisione della sicurezza

StakeWise è riuscita a identificare il bug perché stava lavorando alla decentralizzazione della v2 della sua piattaforma, che includerà un'architettura multi-validatore. StakeWise consente depositi ETH fruttiferi ma utilizza un sistema a singolo nodo.

Il progetto ritiene di essere "passato inosservato" per un po' di tempo a causa di tale centralizzazione. Il token RPL di Rocket Pool ora ha una capitalizzazione di mercato di 353,5 milioni di $ e LDO di Lido è a 103 milioni di $. SWISE di StakeWise, nel frattempo, ha una capitalizzazione di mercato di 4 milioni di $.

Questa segnalazione di bug è solo un altro esempio dell'etica open source di Tsumak, ha affermato Kutakov.

"Dmitri è noto nella comunità StakeWise per aver proposto soluzioni che fanno progredire il settore", ha detto Kutakov del suo collega.

Ha indicato l’Horcrux di Tsumak, uno strumento open source che consente ai progetti di decentralizzare una chiave di prelievo.

Sebbene StakeWise abbia riconosciuto che la segnalazione di bug è in un certo senso una trovata di marketing, il suo obiettivo finale è quello di garantire un lancio sano per ETH 2.0.

"È fantastico generare consapevolezza, ma vediamo questo spazio come uno sforzo collaborativo con tutti coloro che lavorano per rendere la proof-of-stake di Ethereum una realtà", ha affermato Kutakov.

StakeWise v2 è ora in fase di revisione e il lancio è previsto per novembre.

AGGIORNAMENTO (7 ottobre, 15:36 UTC): Corregge il nome di Dmitri Tsumak in tutto il testo; aggiunge un commento di Rocket Pool.