Peneliti Web3 mendapatkan $150k karena menemukan bug kritis di blockchain Evmos

Seorang peneliti keamanan Web3 menerima $150.000 dari Jaringan Cosmos karena berhasil mengidentifikasi bug kritis yang dapat menghentikan blockchain Evmos dan semua aplikasi terdesentralisasi yang ada.

Pada 29 Okt., seorang peneliti keamanan Web3 dari Spearbit dengan nama pengguna jayjonah.eth membuat postingan X yang berisi blogpost yang dia tulis tentang menemukan bug di blockchain Evmos (EVMOS) yang bisa menjadi bencana bagi operasinya.

Upayanya dihargai oleh Cosmos Network dengan pembayaran $150.000 karena berhasil mengidentifikasi kerentanan. Dia menemukan bug tersebut saat berpartisipasi dalam Program Bug Bounty Evmos di platform bug bounty Immunefi, yang aktif sejak November 2022.

Bounty bug kripto menawarkan insentif kepada para pengembang dan peneliti untuk membantu mengidentifikasi bug dan kerentanan dalam sebuah .

Dalam posting blognya, peneliti menjelaskan bahwa ia menemukan konsep "akun modul" saat meninjau dokumentasi Cosmos, menggambarkan ulasan ini sebagai "langkah pertama" dalam mengidentifikasi potensi masalah, karena dokumentasi memberikan "dasar" untuk memahami blockchain.

Dia menemukan bagian dalam dokumen yang berbunyi sebagai berikut:

"Biasanya, alamat-alamat ini adalah akun modul. Jika alamat-alamat ini menerima dana di luar aturan yang diharapkan dari mesin negara, invarian kemungkinan akan rusak dan dapat mengakibatkan jaringan berhenti," tulis Evmos.

Menurut jayjonah.eth, klausa ini menunjukkan bahwa jika pengguna mengirim dana ke akun modul, hal itu bisa menyebabkan blockchain rusak. Dia kemudian menguji ini dengan mengirim dana ke akun modul.

“Pada titik ini, tidak ada blok lain yang diproduksi dan rantai telah sepenuhnya berhenti. Hal ini merusak blockchain Evmos dan semua DApps yang dibangun di atasnya,” tulisnya.

Dia melaporkan temuannya kepada tim EVMOS, menerima $150,000, hadiah tertinggi yang diberikan untuk bug tingkat "kritikal". Peneliti tersebut menekankan bahwa bug tersebut adalah "buah terendah" — sederhana namun mudah terlewatkan.

“Bug ini mengajari saya beberapa hal penting sebagai seorang peneliti keamanan. Yang pertama, dan paling jelas, adalah selalu membaca dokumentasi secara menyeluruh dari proyek yang sedang Anda teliti,”

-jayjonah.eth.

Proyek lain juga dikenal meluncurkan bug bounty untuk membantu mendeteksi ancaman tersembunyi dalam sistem mereka. Pada bulan Agustus tahun lalu, Layer3, sebuah proyek lapisan perhatian terdesentralisasi, meluncurkan program bug bounty bekerja sama dengan HackenProof. Bug bounty menawarkan hadiah hingga $500,000.

Pada bulan Juli, Immunefi bekerja sama dengan Yayasan Ethereum untuk meluncurkan “Attackathon,” kontes audit yang dirancang untuk menantang dan meningkatkan keamanan jaringan Ethereum.