آسیب‌پذیری 32 میلیون دلاری در پروتکل دائمی توسط Chainlight کشف شد و 10 هزار دلار پاداش کلاه سفید را دریافت کرد.

$32M vulnerability in Perpetual Protocol uncovered by Chainlight nets $10k in white hat rewards

شرکت امنیتی بلاک چین Chainlight اعلام کرد که برای کشف یک آسیب پذیری احتمالی که می توانست 32 میلیون دلار سرمایه مشتری را در پروتکل دائمی مبادلات غیرمتمرکز مبتنی بر خوش بینی (DEX) به خطر بیندازد، جایزه 10000 دلاری دریافت کرده است.

در پستی در 9 نوامبر در پلتفرم رسانه اجتماعی X (توئیتر سابق)، Chainlight توضیح داد که چگونه یک اشکال مهم در قرارداد “AccountBalance” پروتکل Perpetual را در سال گذشته گزارش کرده است. به گفته این شرکت، قرارداد یک جزء محوری است که “به عنوان مغز پروتکل برای محاسبه مقادیر موقعیت عمل می کند.”

این آسیب‌پذیری یک تهدید جدی برای DEX بود و کل 32 میلیون دلار USDC را که توسط پروتکل نگهداری می‌شد در معرض خطر سوء استفاده قرار داد.

این نقص پتانسیل این را داشت که به بازیگران بد اجازه دهد تا به سرعت کل 32 میلیون دلار را در یک بازه زمانی پنج دقیقه ای جابجا کنند و پروتکل را با زمان کافی برای به کارگیری اقدامات امنیتی مؤثر باقی بگذارد.

هکر کلاه سفید توضیح داد که یک مهاجم می‌تواند قیمت دارایی‌ها را از طریق یک استراتژی پمپ و تخلیه دستکاری کند، از اقدامات نوسان قیمت برای قرار دادن سفارش‌های موقعیت خارج از محدوده مجاز و بلافاصله سود و در نتیجه بدهی بد پروتکل استفاده کند.

Chainlight در قدردانی از تلاش‌های خود گفت که توکن‌های PERP بومی پروتکل دائمی را به ارزش 10000 دلار دریافت کرده است.

امتیاز کم پروتکل دائمی منتقدان را به خود جلب می کند

جایزه 10000 دلاری واکنش‌های متعددی را از سوی جامعه کریپتو ایجاد کرده است، که استدلال می‌کنند با توجه به مقدار محافظت شده کافی نبود.

تراست، رئیس امنیت شرکت حسابرسی بلاک چین TrustSec، این جایزه را نمونه دیگری از کلاهبرداری با انعام نامگذاری کرد و اظهار داشت که این پاداش به اندازه کافی شدت وضعیت را منعکس نمی کند.

ویکتور بونین، متخصص پروتکل در Coinbase، همچنین این سوال را مطرح کرد که چرا این جایزه بسیار کم است.

Juancito، محقق امنیت بلاک چین، از پیشنهاد پاداش ناچیز انتقاد کرد و گفت که کمک های هکرهای کلاه سفید به اکوسیستم به درستی ارزیابی نمی شود.

به طور مشابه، Blurpoint اشاره کرد که تلاش‌های کلاه سفید اغلب مورد قدردانی قرار نمی‌گیرد و بر اهمیت به رسمیت شناختن و جبران کافی این مشارکت‌ها تأکید می‌کند.

CryptoBandit، کارشناس امنیت Web3، تجربه مشابهی را به اشتراک گذاشت و توضیح داد که چگونه یک آسیب پذیری مهم را به اشتراک گذاشته است که می توانست به ضرر 40 میلیون دلاری با DEX منجر شود اما فقط 30000 دلار به عنوان پاداش جایزه دریافت کرد.

این وضعیت چالش‌هایی را که هکرهای کلاه سفید در صنعت با آن مواجه هستند، نشان می‌دهد، زیرا انگیزه مناسبی برای کمک به پلتفرم‌های کریپتو برای افشای آسیب‌پذیری‌های کدهای خود ندارند.