Plataforma de Staking ETH 2.0 descobre bug multimilionário no código de rivais

Na terça-feira, a Aviso Importante de uma vulnerabilidade do ETH 2.0 apostando O serviço StakeWise pode ter economizado milhões de dólares em ETH que estavam em risco nos protocolos de staking rivais Lido e Rocket Pool.

A Aviso Importante ocorreu no momento em que a comunidade Ethereum se prepara para uma mudança de prova de trabalhoconsenso paraprova de participação– a maior e mais complexa conversão tecnicamente desse tipo na história do blockchain com mais de20 mil milhões de dólares em ETH apostado na linha.

A equipe da StakeWise sinalizou a Aviso Importante no Twitter, observando que chapéu branco quem relatou a vulnerabilidade foi Dmitri Tsumak, um dos cofundadores do protocolo.

O momento é fortuito, porque a Rocket Pool estava programada para lançar sua mainnet em 24 horas. O projeto adiou o lançamento até que a correção esteja pronta.

Tsumak disse ao CoinDesk que ele concordou com a Immunefi, Lido e Rocket Pool em se abster de revelar a natureza exata do bug enquanto as plataformas afetadas trabalham em um patch, mas tanto a Lido quanto a Rocket Pool estão planejando desembolsar a recompensa máxima permitida da Immunefi de US$ 100.000 — indicando um bug de "gravidade crítica", de acordo com o cofundador da StakeWise, Kirill Kutakov.

Tsumak inicialmente contatou a Rocket Pool sobre a vulnerabilidade e, quando ficou claro que outros protocolos poderiam ter o mesmo bug, ele optou por entrar em contato com a plataforma de recompensas Immunefi e também com a Lido.

“Assim que relatei ao Rocket Pool, conversamos sobre quem mais poderia ser afetado e, no caso de Lido, eles estavam vendo o mesmo problema com uma interpretação um BIT diferente”, disse Tsumak.

Um tópico de tweet do Lido mencionou que “abaixo de 100″ ETH estava vulnerável na terça-feira, mas um Aviso Importante de vulnerabilidade publicado hoje disse que mais de 20.000 ETH no valor de US$ 72 milhões estavam em risco.

Em ambos os casos, o bug permitiu que validadores ou operadores de nós drenassem fundos de depositantes – uma falha na forma como os validadores são registrados no ETH 2.0.

O Lido não respondeu a um Request de comentário até o momento.

“A Rocket Pool está feliz que seu programa de recompensa por bugs levou à Confira de uma exploração séria que afetou vários provedores de staking. Em linha com a Aviso Importante responsável, trabalhamos com nosso programa de recompensa por bugs (Immunefi) para alertar as outras equipes rapidamente. Estendemos nossos mais calorosos agradecimentos a Dmitri por relatar a exploração”, disse o gerente da Rocket Pool, Darren Langley, em uma declaração à CoinDesk.

Além disso, a comunidade Rocket Pool está planejando um lançamento de tokens não fungíveis (NFT) para a comunidade StakeWise para comemorar o evento, de acordo com conversas no aplicativo de mensagens Discord.

Kutakov disse que a decisão de notificar os rivais da plataforma foi ONE.

“T desejaríamos essa vulnerabilidade aos nossos concorrentes, e é por isso que optamos pelo caminho amigável e os informamos sobre isso antes do lançamento”, disse ele.

Revisão de segurança

O StakeWise conseguiu identificar o bug porque estava trabalhando na descentralização da v2 de sua própria plataforma, que incluirá uma arquitetura multivalidador. O StakeWise permite depósitos de ETH com juros, mas usa um sistema de nó único.

O projeto acredita que tem estado “voando sob o radar” por algum tempo por causa dessa centralização. O token RPL da Rocket Pool agora está em uma capitalização de mercado de $ 353,5 milhões, e o LDO da Lido está em $ 103 milhões. O SWISE da StakeWise, enquanto isso, tem uma capitalização de mercado de $ 4 milhões.

Este relatório de bug é apenas mais um exemplo do espírito de código aberto de Tsumak, disse Kutakov.

“Dmitri é conhecido na comunidade StakeWise por publicar coisas que promovem o espaço”, disse Kutakov sobre seu colega.

Ele apontou para o Horcrux de Tsumak, uma ferramenta de código aberto que permite que projetos descentralizem uma chave de retirada.

Embora a StakeWise tenha reconhecido que o relatório de bug é uma espécie de golpe de marketing, seu objetivo final é garantir um lançamento saudável para o ETH 2.0.

“É ótimo gerar conscientização, mas vemos esse espaço como um esforço colaborativo com todos trabalhando para tornar a prova de participação do Ethereum uma realidade”, disse Kutakov.

O StakeWise v2 está agora sob auditoria, com data de lançamento prevista para novembro.

ATUALIZAÇÃO (7 de outubro, 15:36 UTC): Corrige o nome de Dmitri Tsumak; adiciona comentário do Rocket Pool.