Рекордна винагорода за виявлення вразливості інформаційної безпеки
На початку лютого 2022 року команда розробників компанії Optimism отримала драматичну звістку. Керівником відділу технологій Orchid Protocol Джеєм Фріманом була виявлена критична помилка у вирішенні масштабування Ethereum Layer 2.
Уразливість системи безпеки була частиною форка рішення Geth і могла дозволити зловмиснику створювати криптовалюту ефір (ETH) у мережі в необмеженій кількості.
Іншими словами, якби Джей Фріман скористався своєю знахідкою, то одна з найпопулярніших у світі криптовалют могла бути скомпрометована. Для розуміння масштабів проблеми, капіталізація ETH становить понад 300 мільярдів доларів. Це більше ніж річний бюджет такої країни як Швеція.
Згідно з офіційним повідомленням, зловмисник міг використати вразливість у рішеннях Ethereum L2 шляхом багаторазового спрацьовування коду SELFDESTRUCT для контракту, в якому був баланс ETH. Проте, розробники Optimism негайно усунули помилку.
Перевіривши історію блокчейн-ланцюжка, команда Optimism повідомила, що помилка була викликана лише один раз шляхом випадкової активації співробітником стартапу Etherscan, що спеціалізується на даних Ethereum, але “не було згенеровано жодного корисного надлишку”.
Optimism виплатила Фріману грошову винагороду у розмірі понад 2 мільйони доларів США за його внесок у рішення для масштабування Ethereum. Це рекордна сума, яку будь-коли отримував за свою роботу один дослідник безпеки. Водночас ця сума становить мізерну частку капіталізації криптовалюти, яка зазнала ризику.
Також компанія зазначила у своєму повідомленні: “якщо ви такий самий “білий хакер”, ми будемо раді, якщо ви ознайомитеся з нашою програмою винагороди за виявлення помилок та допоможете забезпечити безпеку нашого протоколу”.
Для безпеки ваших рішень скористайтесь нашим аудитом безпеки вихідного коду та аудитом смарт-контрактів. Ці послуги мінімізують ризики припущення критичних помилок на етапі розробки. Тим самим вони допомагають підвищити рівень захищеності застосунків, смарт-контрактів, сервісів і програмних компонентів.
Окрім того, завчасний аудит рішень, що плануються до випуску, набагато дешевший, ніж винагороди, що виплачуються за знаходження вразливостей, коли ці рішення вже опубліковано у відкритому доступі. Тим більше, витрати на аудит набагато нижчі збитків від зломів, витоків даних і активів, а також інших інцидентів безпеки.
Зв’яжіться з нами сьогодні для отримання додаткової інформації щодо безпеки коду ваших програм, смарт-контрактів та конфігурацій.
Підпишіться на наш канал Телеграм, щоб не пропустити наші новини.