Дослідник Web3 отримав $150 тис. за виявлення критичної помилки в блокчейні EVMOS

Дослідник з безпеки Web3 отримав $150,000 з Cosmos Network за виявлення критичної помилки, яка може зупинити блокчейн Evmos та всі його децентралізовані додатки.

29 жовтня дослідник з безпеки Web3 від компанії Spearbit з ніком jayjonah.eth опублікував повідомлення X, в якому він розповідає про виявлення помилки у блокчейні Evmos (EVMOS), яка могла б стати катастрофічною для його роботи.

Його зусилля були винагороджені Cosmos Network виплатою в розмірі $150,000 за виявлення вразливості. Він виявив помилку, беручи участь у Програмі винагород за помилки Evmos на платформі винагород Immunefi, яка працює з листопада 2022 року.

Криптографічна винагорода надає стимули розробникам та дослідникам для виявлення помилок та вразливостей у .

У своєму блозі дослідник пояснив, що натрапив на концепцію «модульних облікових записів» під час огляду документації Cosmos, описуючи цей огляд як «перший крок» у виявленні потенційних проблем, оскільки документація надає «основу» для розуміння блокчейну.

Він знайшов розділ у документі, який мав такий зміст:

«Зазвичай це адреси облікових записів модуля. Якщо ці адреси отримують кошти поза очікуваними правилами машини стану, ймовірно, порушуються невід'ємність і може призвести до зупинки мережі», написав Evmos.

Згідно з jayjonah.eth, ця умова вказує, що якщо користувачі надсилають кошти на модульні рахунки, це може призвести до зламу блокчейна. Він перевірив це, надіславши кошти на модульні рахунки.

«На цей момент блоки більше не виробляються, і ланцюг повністю зупинився. Це руйнує блокчейн Evmos і всі DApps, побудовані на ньому», — написав він.

Він повідомив свої висновки команді EVMOS, отримавши $150,000, найвищий приз, який було вручено за багатофункціональний рівень. Дослідник підкреслив, що цей баг був "низькою плодоносною фруктом" - простим, але легким для проґляду.

«Цей баг вчив мені декілька важливих речей як досліднику з безпеки. Перше, і найочевидніше, це завжди ретельно читати документацію проекту, який ви розслідуєте»,

-jayjonah.eth.

Інші проекти також відомі своїми програмами винагород за помилки, щоб допомогти виявляти приховані загрози у своїх системах. У серпні минулого року проект Layer3, децентралізований проект з уваги, запустив програму винагород до $500,000 у співпраці з HackenProof.

У липні Immunefi співпрацював з Ethereum Foundation, щоб запустити «Attackathon», конкурс аудиту, який мав на меті випробування та покращення безпеки мережі Ethereum.