Исследователь безопасности Web3 получил вознаграждение в размере 150 000 долларов США, прочитав документацию Cosmos Network и обнаружив критическую ошибку, которая могла остановить работу блокчейна Evmos и всех децентрализованных приложений (DApps), построенных на нем.
Исследователь безопасности Spearbit под псевдонимом jayjonah.eth получил 150 000 долларов за выявление уязвимости в блокчейне Evmos в рамках программы Evmos Bug Bounty, которая действует с ноября 2022 года.
В сообщении в блоге, опубликованном 28 октября, он объяснил, что столкнулся с концепцией «учётных записей модулей» в документации Cosmos, которая гласила:
«Если эти адреса (счета модулей) получают средства вне ожидаемых правил конечного автомата, инварианты, скорее всего, будут нарушены и могут привести к остановке сети».
Краш-тестирование блокчейна Evmos на основе документации Cosmos
Исследователь безопасности попытался отправить средства на счет модуля в тестовой среде, чтобы проверить теорию, и сообщил:
«На данный момент блоки больше не производятся, и цепочка полностью остановилась. Это сломает блокчейн Evmos и все построенные на нем децентрализованные приложения».
Он сообщил, что команда Evmos исправила ошибку до того, как информация была обнародована.
Исследователь получил высшую награду за обнаружение критической ошибки. В заключение сайт jayjonah.eth призвал исследователей безопасности прочитать проектную документацию, добавив при этом, что «иногда самые критические ошибки могут быть чрезвычайно простыми».
Связанный: Тапиока предлагает 1 миллион долларов злоумышленнику, занимающемуся «социальной инженерией», который украл 4,7 миллиона долларов
Помимо помощи проектам в снижении риска кибератак, программы вознаграждения за ошибки также используются в качестве инструмента для минимизации потерь в случае взлома.
Хакер договорился о вознаграждении за обнаружение ошибок в протоколе Shezmu
В сентябре, используя протокол доходности, Шезму вернул почти 5 миллионов долларов в украденной криптовалюте посредством переговоров с хакером после согласия на более высокую награду.
Первоначально Шезму предложил хакеру вознаграждение в размере 10% через сообщение в сети и потребовал вернуть 90% украденных средств в течение 24 часов.
Однако хакер потребовал 20% украденных средств в качестве вознаграждения, на что протокол согласился, и получил оставшиеся украденные средства.
