Рекордное вознаграждение за обнаружение уязвимости информационной безопасности
В начале февраля 2022 года команда разработчиков компании Optimism получила драматическое известие. Руководителем отдела технологий Orchid Protocol Джеем Фриманом была обнаружена критическая ошибка в решении по масштабированию Ethereum Layer 2.
Уязвимость системы безопасности была частью форка решения Geth и могла позволить злоумышленнику создавать криптовалюту эфир (ETH) в сети в неограниченном количестве.
Иными словами, если бы Джей Фриман воспользовался своей находкой, то одна из наиболее популярных в мире криптовалют могла быть скомпрометирована. Для понимания масштабов проблемы, капитализация ETH составляет более 300 миллиардов долларов. Это больше, чем годовой бюджет такой страны как Швеция.
Согласно официальному сообщению, злоумышленник мог использовать уязвимость в решениях Ethereum L2 путем многократного срабатывания кода SELFDESTRUCT для контракта, в котором был баланс ETH. Однако, разработчики Optimism незамедлительно устранили ошибку.
Проверив историю блокчейн-цепочки, команда Optimism сообщила, что ошибка была вызвана только один раз путем случайной активации сотрудником стартапа Etherscan, специализирующегося на данных Ethereum, но “не было сгенерировано никакого полезного избытка”.
Optimism выплатила Фриману денежное вознаграждение в размере более 2 миллионов долларов США за его вклад в решение для масштабирования Ethereum. Это рекордная сумма, которую когда-либо получал за свою работу один исследователь безопасности. В то же время, эта сумма составляет ничтожно малую долю капитализации криптовалюты, которая подверглась риску.
Также компания отметила в своем сообщении: “если вы такой же «белый хакер», мы будем рады, если вы ознакомитесь с нашей программой вознаграждения за обнаружение ошибок и поможете обеспечить безопасность нашего протокола”.
Для обеспечения безопасности ваших решений воспользуйтесь нашим аудитом безопасности исходного кода и аудитом смарт-контрактов. Эти сервисы минимизируют риски допущения критических ошибок на этапе разработки. Тем самым они помогают повысить уровень защищенности приложений, смарт-контрактов, сервисов и программных компонентов.
Кроме того, заблаговременный аудит решений, планируемых к выпуску, намного дешевле, чем вознаграждения, выплачиваемые за нахождение уязвимостей, когда эти решения уже опубликованы. Тем более, затраты на аудит намного ниже ущерба от взломов, утечек данных и активов, а также других инцидентов безопасности.
Свяжитесь с нами сегодня для получения дополнительной информации по безопасности кода ваших приложений, смарт-контрактов и конфигураций.
Подпишитесь на наш канал Телеграм, чтобы не пропустить наши новости.