Платформа для стейкинга ETH 2.0 обнаружила ошибку стоимостью в несколько миллионов долларов в коде конкурентов

Во вторник было Раскрытие информации уязвимость ETH 2.0 ставка Сервис StakeWise, возможно, спас ETH на миллионы долларов, которые подвергались риску в конкурирующих протоколах стейкинга Lido и Rocket Pool.

Раскрытие информации произошло в то время, когда сообщество Ethereum готовится к переходу с доказательство работыконсенсусдоказательство доли– крупнейшее и наиболее технически сложное преобразование такого рода в истории блокчейна с более чем20 миллиардов долларов в поставленных на кон ETH .

Сотрудники StakeWise сообщили об этом Раскрытие информации в Twitter, отметив, что белая шляпа Об уязвимости сообщил Дмитрий Цумак, ONE из соучредителей протокола.

Время выбрано удачно, поскольку Rocket Pool должен был запустить свою основную сеть в течение 24 часов. Проект отложил запуск до тех пор, пока не будет исправлено.

Цумак сообщил CoinDesk , что он договорился с Immunefi, Lido и Rocket Pool воздержаться от раскрытия точной природы ошибки, пока затронутые платформы работают над исправлением, но и Lido, и Rocket Pool планируют выплатить максимально допустимое вознаграждение Immunefi в размере 100 000 долларов США, что, по словам соучредителя StakeWise Кирилла Кутакова, указывает на «критическую серьезность» ошибки.

Первоначально Цумак связался с Rocket Pool по поводу уязвимости, а когда стало ясно, что и другие протоколы могут содержать ту же ошибку, он решил связаться с платформой вознаграждений Immunefi, а также с Lido.

«Как только я сообщил об этом в Rocket Pool, мы обсудили, кого еще это может коснуться, и в случае с Lido они увидели ту же проблему, но в BIT иной интерпретации», — сказал Цумак.

В твите от Lido упоминалось, что во вторник ETH «ниже 100» были уязвимы, но Раскрытие информации уязвимости В опубликованном сегодня отчете говорится, что под угрозой находится свыше 20 000 ETH на сумму 72 миллиона долларов.

В обоих случаях ошибка позволяла валидаторам или операторам узлов сливать средства вкладчиков — недостаток процедуры регистрации валидаторов в ETH 2.0.

На момент публикации статьи Лидо не ответил на Request о комментарии.

«Rocket Pool рад, что его программа вознаграждения за обнаруженные ошибки привела к Истории серьезного эксплойта, который затронул нескольких поставщиков стекинга. В соответствии с принципом ответственного Раскрытие информации мы работали с нашей программой вознаграждения за обнаруженные ошибки (Immunefi), чтобы быстро оповестить другие команды. Мы выразили глубокую благодарность Дмитрию за сообщение об эксплойте», — сказал менеджер Rocket Pool Даррен Лэнгли в заявлении для CoinDesk.

Кроме того, согласно сообщениям в приложении для обмена сообщениями Discord, сообщество Rocket Pool планирует выпуск невзаимозаменяемых токенов (NFT) для сообщества StakeWise в ознаменование этого события.

Кутаков рассказал, что решение уведомить конкурентов платформы было ONE.

«Мы T желаем, чтобы такая уязвимость коснулась наших конкурентов, и поэтому мы пошли по пути компромисса и сообщили им об этом до запуска», — сказал он.

Обзор безопасности

StakeWise удалось обнаружить ошибку, поскольку компания работала над децентрализацией v2 своей собственной платформы, которая будет включать архитектуру с несколькими валидаторами. StakeWise допускает депозиты ETH с процентами, но использует систему с одним узлом.

Проект считает, что из-за этой централизации он некоторое время «не привлекал к себе внимания». Рыночная капитализация токена RPL Rocket Pool сейчас составляет $353,5 млн, а LDO Lido — $103 млн. Между тем, рыночная капитализация SWISE StakeWise составляет $4 млн.

По словам Кутакова, этот отчет об ошибке — еще один пример приверженности Tsumak принципам открытого исходного кода.

«Дмитрий известен в сообществе StakeWise тем, что публикует идеи, которые продвигают эту сферу», — сказал Кутаков о своем коллеге.

Он указал на «Хоркрукс» Цумака — инструмент с открытым исходным кодом, который позволяет проектам децентрализовать ключ вывода средств.

Хотя StakeWise признал, что отчет об ошибке является своего рода маркетинговым ходом, его конечная цель — обеспечить успешный запуск ETH 2.0.

«Это здорово — повышать осведомленность, но мы рассматриваем это пространство как совместную работу всех, кто работает над тем, чтобы сделать Proof-of-Stake Ethereum реальностью», — сказал Кутаков.

В настоящее время StakeWise v2 проходит аудит, а его запуск запланирован на ноябрь.

ОБНОВЛЕНИЕ (7 октября, 15:36 UTC): Исправлено имя Дмитрия Цумака по всему тексту; добавлен комментарий от Rocket Pool.