Một nhà nghiên cứu bảo mật Web3 đã kiếm được phần thưởng 150.000 USD nhờ việc đọc tài liệu của Mạng Cosmos và phát hiện lỗi nghiêm trọng có thể khiến Blockchain Evmos và tất cả các ứng dụng phi tập trung (DApps) được xây dựng trên nó ngừng hoạt động.
Nhà nghiên cứu bảo mật ẩn danh dưới tên “jayjonah.eth” từ Spearbit đã nhận được 150.000 USD cho việc phát hiện lỗ hổng trong Blockchain Evmos, một phần của Chương trình Phát hiện Lỗi Evmos đã hoạt động từ tháng 11 năm 2022.
Trong một bài đăng blog công bố vào ngày 28 tháng 10, ông giải thích mình đã tìm hiểu về khái niệm “tài khoản module” trong tài liệu Cosmos, như được viết:
“Nếu những địa chỉ này (tài khoản module) nhận tiền từ ngoài các quy tắc dự kiến của máy trạng thái, sự không nhất quán có khả năng xảy ra và có thể dẫn đến việc ngưng hoạt động của mạng lưới.”
Thử nghiệm sụp đổ Blockchain Evmos dựa trên tài liệu Cosmos
Nhà nghiên cứu bảo mật đã thử gửi tiền đến tài khoản module trong môi trường thử nghiệm để kiểm tra lý thuyết và báo cáo rằng:
“Tại thời điểm này, không có khối nào được sản xuất và Chain đã hoàn toàn ngừng hoạt động. Điều này phá hủy Blockchain Evmos cùng với tất cả các DApp được xây dựng trên nó.”
Ông tiết lộ nhóm Evmos đã sửa lỗi trước khi thông tin được công khai.
Hệ thống trả thưởng chương trình phát hiện lỗi Evmos. Nguồn: Evmos
Nhà nghiên cứu được trao phần thưởng cao nhất cho việc phát hiện ra lỗi nghiêm trọng. Cuối cùng, jayjonah.eth đã khuyên các nhà nghiên cứu bảo mật cần đọc kỹ tài liệu dự án, đồng thời nhấn mạnh rằng “đôi khi những lỗi nghiêm trọng nhất có thể cực kỳ đơn giản.”
Nguồn: jayjonah_eth
Bên cạnh việc giúp các dự án giảm thiểu rủi ro tấn công mạng, các chương trình phát hiện lỗi còn được sử dụng như công cụ để giảm thiểu tổn thất trong trường hợp bị hack.
Hacker thương thảo phần thưởng với giao thức Shezmu
Vào tháng 9, thông qua giao thức lợi suất, Shezmu đã hồi phục gần 5 triệu USD tiền điện tử bị đánh cắp thông qua thương lượng với hacker sau khi đồng ý mức thưởng cao hơn.
Shezmu ban đầu đề nghị hacker một phần thưởng 10% thông qua một thông điệp on-chain và yêu cầu trả lại 90% số tiền bị đánh cắp trong vòng 24 giờ.
Nguồn: Shezmu
Tuy nhiên, hacker yêu cầu 20% số tiền bị đánh cắp làm phần thưởng, mà giao thức đã đồng ý và nhận lại phần tiền còn lại.
