Поділитися цією статтею

Платформа стекінгу ETH 2.0 виявила багатомільйонну помилку в коді конкурентів

StakeWise — це маленька рибка в POND, але вона виявила свою присутність у звіті про помилку, який призупинив запуск конкурента Rocket Pool.

Оновлено 11 трав. 2023 р., 3:38 пп Опубліковано 6 жовт. 2021 р., 8:14 пп Перекладено AI

У вівторок сталося Повідомлення уразливості з ETH 2.0 ставлення Служба StakeWise, можливо, зберегла ETH на мільйони доларів, які були під загрозою через конкуруючі протоколи стекінгу Lido та Rocket Pool.

Це стало Повідомлення , коли спільнота Ethereum готується до переходу з a підтвердження роботи консенсус до proof-of-stake – найбільша та технічно найскладніша конверсія такого роду в історії блокчейну 20 мільярдів доларів у ставці ETH на лінії.

Продовження Нижче

Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути Всі Розсилки

Підписуючись, ви отримуватимете листи про продукти CoinDesk та погоджуєтесь з нашими умови використання та політика конфіденційності.

Співробітники StakeWise повідомили про це у Twitter, зазначивши, що білий капелюх про вразливість повідомив Дмитро Цумак, ONE із співзасновників протоколу.

1/ Last night around 7PM UTC, our founder Dmitri Tsumak (@tsudmi) discovered a severe vulnerability in @Rocket_Pool that could lead to the theft of users’ funds if exploited.

Upon further examination, it became apparent that @LidoFinance's architecture was also affected. https://t.co/xlpZMYkFMe
— StakeWise (@stakewise_io) October 5, 2021

Час вибрано випадково, оскільки Rocket Pool мав запустити свою основну мережу протягом 24 годин. Проект відклав запуск до виправлення.

Цумак сказав CoinDesk , що він домовився з Immunefi, Lido та Rocket Pool утриматися від розголошення точної природи помилки, поки уражені платформи працюють над виправленням, але Lido та Rocket Pool планують виплатити максимальну винагороду Immunefi у розмірі 100 000 доларів США, що вказує на помилку «критичної серйозності», згідно з StakeWise. співзасновник Кирило Кутаков.

Цумак спочатку зв’язався з Rocket Pool щодо вразливості, а коли з’ясувалося, що інші протоколи можуть мати таку ж помилку, він вирішив зв’язатися з платформою баунті Immunefi та Lido.

«Як тільки я повідомив Rocket Pool, ми поговорили про те, на кого ще це може вплинути, і у випадку з Lido вони бачили ту саму проблему в BIT іншій інтерпретації», — сказав Цумак.

У твіті Lido згадується, що «нижче 100″ ETH було вразливим у вівторок, але Повідомлення вразливості опублікованому сьогодні, йдеться про те, що під загрозою перебуває понад 20 000 ETH вартістю 72 мільйони доларів.

A critical vulnerability has been submitted to the Lido bug bounty program.

Currently the potential impact is low (less than 100 ETH) and the risk of it happening is not high either, as the vulnerability can only be exploited by the currently whitelisted Lido node operators.
— Lido (@LidoFinance) October 5, 2021

В обох випадках помилка дозволяла валідаторам або операторам вузлів вичерпувати кошти вкладників – недолік у тому, як валідатори реєструються в ETH 2.0.

Lido не відповіла на Request про коментарі до прес-тайму.

"Rocket Pool рада, що її програма винагород за помилки призвела до Цікаве серйозного експлойту, який вплинув на багатьох постачальників ставок. У рамках відповідального Повідомлення ми працювали з нашою програмою винагород за помилки (Immunefi), щоб швидко сповістити інші команди. Ми висловлюємо щиру подяку Дмитру за повідомлення про експлойт", - сказав менеджер Rocket Pool Даррен Ленглі в заяві CoinDesk.

Крім того, згідно з розмовами в додатку для обміну повідомленнями Discord, спільнота Rocket Pool планує видачу незамінних токенів (NFT) для спільноти StakeWise на честь цієї події.

Кутаков сказав, що рішення повідомити конкурентів платформи було ONE.

«Ми T бажаємо такої вразливості нашим конкурентам, і тому ми пішли мирним шляхом і повідомили їх про це до запуску», — сказав він.

Огляд безпеки

StakeWise вдалося виявити помилку, оскільки вони працювали над децентралізацією версії 2 своєї власної платформи, яка включатиме архітектуру мультивалідатора. StakeWise дозволяє робити процентні депозити ETH , але використовує систему з одним вузлом.

Проект вважає, що через таку централізацію він деякий час «пролітав під радаром». Ринкова капіталізація токена RPL Rocket Pool становить 353,5 мільйона доларів, а LDO Lido – 103 мільйони доларів. Тим часом SWISE від StakeWise має ринкову капіталізацію 4 мільйони доларів.

За словами Кутакова, цей звіт про помилку є ще одним прикладом відкритого коду Цумака.

«Дмитрі відомий у спільноті StakeWise тим, що розміщує речі, які просувають простір», — сказав Кутаков про свого колегу.

Він вказав на Horcrux Цумака, інструмент з відкритим вихідним кодом, який дозволяє проектам децентралізувати ключ виведення коштів.

Хоча StakeWise визнає, що звіт про помилку є чимось на кшталт маркетингового перевороту, його кінцевою метою є забезпечення нормального запуску ETH 2.0.

«Це чудово підвищувати обізнаність, але ми розглядаємо цей простір як спільне зусилля з усіма, хто працює над тим, щоб втілити доказ ставки Ethereum в реальність», — сказав Кутаков.

StakeWise v2 зараз проходить перевірку, а дата запуску запланована на листопад.

ОНОВЛЕННЯ (7 жовтня, 15:36 UTC): Повністю виправлено ім’я Дмитра Цумака; додає коментар від Rocket Pool.

Ethereum 2.0 Staking Bugs Exploits

Andrew Thurman

Ендрю Турман був технічним кореспондентом у CoinDesk. Раніше він працював редактором у вихідні дні в Cointelegraph, менеджером із партнерства в Chainlink і співзасновником стартапу ринку даних смарт-контрактів.