Evmos платит 150 тысяч долларов за критическую ошибку, обнаруженную в документации Cosmos

Исследователь безопасности Web3 получил вознаграждение в размере 150 000 долларов США, прочитав документацию Cosmos Network и обнаружив критическую ошибку, которая могла остановить работу блокчейна Evmos и всех децентрализованных приложений (DApps), построенных на нем.

Исследователь безопасности Spearbit под псевдонимом jayjonah.eth получил 150 000 долларов за выявление уязвимости в блокчейне Evmos в рамках программы Evmos Bug Bounty, которая действует с ноября 2022 года.

В сообщении в блоге, опубликованном 28 октября, он объяснил, что столкнулся с концепцией «учётных записей модулей» в документации Cosmos, которая гласила:

«Если эти адреса (счета модулей) получают средства вне ожидаемых правил конечного автомата, инварианты, скорее всего, будут нарушены и могут привести к остановке сети».

Краш-тестирование блокчейна Evmos на основе документации Cosmos

Исследователь безопасности попытался отправить средства на счет модуля в тестовой среде, чтобы проверить теорию, и сообщил:

«На данный момент блоки больше не производятся, и цепочка полностью остановилась. Это сломает блокчейн Evmos и все построенные на нем децентрализованные приложения».

Он сообщил, что команда Evmos исправила ошибку до того, как информация была обнародована.

Исследователь получил высшую награду за обнаружение критической ошибки. В заключение сайт jayjonah.eth призвал исследователей безопасности прочитать проектную документацию, добавив при этом, что «иногда самые критические ошибки могут быть чрезвычайно простыми».

Связанный: Тапиока предлагает 1 миллион долларов злоумышленнику, занимающемуся «социальной инженерией», который украл 4,7 миллиона долларов

Помимо помощи проектам в снижении риска кибератак, программы вознаграждения за ошибки также используются в качестве инструмента для минимизации потерь в случае взлома.

Хакер договорился о вознаграждении за обнаружение ошибок в протоколе Shezmu

В сентябре, используя протокол доходности, Шезму вернул почти 5 миллионов долларов в украденной криптовалюте посредством переговоров с хакером после согласия на более высокую награду.

Первоначально Шезму предложил хакеру вознаграждение в размере 10% через сообщение в сети и потребовал вернуть 90% украденных средств в течение 24 часов.

Однако хакер потребовал 20% украденных средств в качестве вознаграждения, на что протокол согласился, и получил оставшиеся украденные средства.