Исследователь безопасности Web3 получил вознаграждение в размере 150 тыс. долларов, прочитав документацию Cosmos Network и обнаружив критическую ошибку, которая могла остановить блокчейн Evmos и все децентрализованные приложения (DApps), созданные на его основе.
Исследователь безопасности Spearbit под псевдонимом «jayjonah.eth» получил 150 000 долларов за выявление уязвимости в блокчейне Evmos в рамках программы Evmos Bug Bounty, которая действует с ноября 2022 года.
В сообщении в блоге, опубликованном 28 октября, он объяснил, как наткнулся на концепцию «модульных счетов» в документации Cosmos, которая гласила:
«Если эти адреса (модульные счета) получают средства вне ожидаемых правил конечного автомата, инварианты, скорее всего, будут нарушены, что может привести к остановке сети».
Краш-тест блокчейна Evmos на основе документации Cosmos
Исследователь безопасности попытался отправить средства на модульный счет в тестовой среде, чтобы проверить теорию, и сообщил:
«На данный момент блоки больше не производятся, и блокчейн полностью остановлен. Это нарушает работу блокчейна Evmos и всех DApps, построенных на нем».
Он сказал, что команда Evmos исправила ошибку до того, как информация была обнародована.
Система выплат вознаграждений за обнаружение ошибок Evmos. Источник: Evmos
Исследователю была присуждена самая высокая выплата за обнаружение критической ошибки. В заключение jayjonah.eth призвал исследователей безопасности ознакомиться с проектными документами, добавив, что «иногда самые критические ошибки могут быть чрезвычайно простыми».
Источник: jayjonah_eth.
Помимо помощи проектам в снижении риска кибератак, программы вознаграждений за обнаружение ошибок используются в качестве инструмента для минимизации потерь в случае взлома.
Хакер договаривается о вознаграждении за обнаружение ошибок с протоколом Shezmu
В сентябре, используя протокол yield, Shezmu вернул почти 5 миллионов долларов украденной криптовалюты путем переговоров с хакером, согласившись на более высокую сумму вознаграждения.
Изначально Shezmu предложил хакеру вознаграждение в размере 10% через сообщение в блокчейне и потребовал вернуть 90% украденных средств в течение 24 часов.
Источник: Shezmu
Хакер потребовал 20% украденных средств в качестве вознаграждения, на что протокол согласился и получил оставшиеся украденные средства.