Un chercheur Web3 a reçu 150 000 $ pour avoir trouvé un bogue critique dans la blockchain EVMOS

Un chercheur en sécurité Web3 a reçu 150 000 $ du Cosmos Network pour avoir identifié un bug critique qui pourrait stopper la blockchain Evmos et toutes ses applications décentralisées.

Le 29 octobre, un chercheur en sécurité Web3 de Spearbit avec le nom d'utilisateur jayjonah.eth a publié un article contenant un article de blog qu'il a écrit sur la découverte d'un bug dans la blockchain Evmos(EVMOS) qui aurait pu être catastrophique pour ses opérations.

Ses efforts ont été récompensés par le réseau Cosmos avec un paiement de 150 000 $ pour avoir identifié la vulnérabilité. Il a découvert le bug en participant au programme de primes bug bounty d'Evmos sur la plateforme bug bounty Immunefi, qui est active depuis novembre 2022.

Un bug bounty cryptographique offre des incitations aux développeurs et aux chercheurs pour les aider à identifier les bugs et les vulnérabilités dans un .

Dans son article de blog, le chercheur a expliqué qu'il a découvert le concept de "comptes de module" lors de l'examen de la documentation Cosmos, qualifiant cet examen de "première étape" pour identifier les problèmes potentiels, car la documentation constitue "la base" pour comprendre une blockchain.

Il a trouvé une section dans le document qui se lisait comme suit:

"En général, ces adresses sont des comptes de module. Si ces adresses reçoivent des fonds en dehors des règles attendues de la machine d'état, il est probable que des invariants soient rompus et pourraient entraîner l'arrêt du réseau", a écrit EVMOS.

Selon jayjonah.eth, cette clause indiquait que si les utilisateurs envoyaient des fonds aux comptes de module, cela pourrait causer la rupture de la blockchain. Il a ensuite testé cela en envoyant des fonds aux comptes de module.

“A ce stade, aucun autre bloc n'est produit et la chaîne s'est complètement arrêtée. Cela casse la blockchain Evmos et toutes les DApps qui y sont construites”, a-t-il écrit.

Il a rapporté ses conclusions à l'équipe EVMOS, recevant 150 000 $, le prix le plus élevé décerné pour un bug de niveau “critique”. Le chercheur a souligné que le bug était un “facile à négliger” - simple mais facile à négliger.

"Ce bogue m'a appris quelques choses importantes en tant que chercheur en sécurité. Le premier, et le plus évident, est de toujours lire attentivement la documentation du projet que vous étudiez",

-jayjonah.eth.

D'autres projets ont également été connus pour lancer des bug bounties pour aider à détecter les menaces cachées dans leurs s. En août dernier, Layer3, un projet de couche d'attention décentralisée, a lancé un programme de bug bounty en partenariat avec HackenProof. Le bug bounty offre une récompense pouvant aller jusqu'à 01928374656574839201 $.

En juillet, Immunefi a collaboré avec la Fondation Ethereum pour lancer l'« Attackathon », un concours d'audit conçu pour mettre à l'épreuve et renforcer la sécurité du réseau Ethereum.