Рекордна винагорода за виявлення вразливості інформаційної безпеки
На початку лютого 2022 року команда розробників компанії Optimism отримала драматичну звістку. Керівником відділу технологій Orchid Protocol Джеєм Фріманом була виявлена критична помилка у вирішенні масштабування Ethereum Layer 2.
Уразливість системи безпеки була частиною форка рішення Geth і могла дозволити зловмиснику створювати криптовалюту ефір (ETH) у мережі в необмеженій кількості.
Іншими словами, якби Джей Фріман скористався своєю знахідкою, то одна з найпопулярніших у світі криптовалют могла бути скомпрометована. Для розуміння масштабів проблеми, капіталізація ETH становить понад 300 мільярдів доларів. Це більше ніж річний бюджет такої країни як Швеція.
Згідно з офіційним повідомленням, зловмисник міг використати вразливість у рішеннях Ethereum L2 шляхом багаторазового спрацьовування коду SELFDESTRUCT для контракту, в якому був баланс ETH. Проте, розробники Optimism негайно усунули помилку.
Перевіривши історію блокчейн-ланцюжка, команда Optimism повідомила, що помилка була викликана лише один раз шляхом випадкової активації співробітником стартапу Etherscan, що спеціалізується на даних Ethereum, але “не було згенеровано жодного корисного надлишку”.
![discovering vulnerabilities](https://www.h-x.technology/wp-content/uploads/2022/03/Hack-1024x512.jpg)
Optimism виплатила Фріману грошову винагороду у розмірі понад 2 мільйони доларів США за його внесок у рішення для масштабування Ethereum. Це рекордна сума, яку будь-коли отримував за свою роботу один дослідник безпеки. Водночас ця сума становить мізерну частку капіталізації криптовалюти, яка зазнала ризику.
Також компанія зазначила у своєму повідомленні: “якщо ви такий самий “білий хакер”, ми будемо раді, якщо ви ознайомитеся з нашою програмою винагороди за виявлення помилок та допоможете забезпечити безпеку нашого протоколу”.
Для безпеки ваших рішень скористайтесь нашим аудитом безпеки вихідного коду та аудитом смарт-контрактів. Ці послуги мінімізують ризики припущення критичних помилок на етапі розробки. Тим самим вони допомагають підвищити рівень захищеності застосунків, смарт-контрактів, сервісів і програмних компонентів.
Окрім того, завчасний аудит рішень, що плануються до випуску, набагато дешевший, ніж винагороди, що виплачуються за знаходження вразливостей, коли ці рішення вже опубліковано у відкритому доступі. Тим більше, витрати на аудит набагато нижчі збитків від зломів, витоків даних і активів, а також інших інцидентів безпеки.
Зв’яжіться з нами сьогодні для отримання додаткової інформації щодо безпеки коду ваших програм, смарт-контрактів та конфігурацій.
Підпишіться на наш канал Телеграм, щоб не пропустити наші новини.