Evmos выплачивает $150 тыс вознаграждения за критическую ошибку в документации Cosmos

Исследователь безопасности Web3 получил вознаграждение в размере 150 тыс. долларов, прочитав документацию Cosmos Network и обнаружив критическую ошибку, которая могла остановить блокчейн Evmos и все децентрализованные приложения (DApps), созданные на его основе.

Исследователь безопасности Spearbit под псевдонимом «jayjonah.eth» получил 150 000 долларов за выявление уязвимости в блокчейне Evmos в рамках программы Evmos Bug Bounty, которая действует с ноября 2022 года.

В сообщении в блоге, опубликованном 28 октября, он объяснил, как наткнулся на концепцию «модульных счетов» в документации Cosmos, которая гласила:

«Если эти адреса (модульные счета) получают средства вне ожидаемых правил конечного автомата, инварианты, скорее всего, будут нарушены, что может привести к остановке сети».

Краш-тест блокчейна Evmos на основе документации Cosmos

Исследователь безопасности попытался отправить средства на модульный счет в тестовой среде, чтобы проверить теорию, и сообщил:

«На данный момент блоки больше не производятся, и блокчейн полностью остановлен. Это нарушает работу блокчейна Evmos и всех DApps, построенных на нем».

Он сказал, что команда Evmos исправила ошибку до того, как информация была обнародована.

Система выплат вознаграждений за обнаружение ошибок Evmos. Источник: Evmos

Исследователю была присуждена самая высокая выплата за обнаружение критической ошибки. В заключение jayjonah.eth призвал исследователей безопасности ознакомиться с проектными документами, добавив, что «иногда самые критические ошибки могут быть чрезвычайно простыми».

Источник: jayjonah_eth.

Помимо помощи проектам в снижении риска кибератак, программы вознаграждений за обнаружение ошибок используются в качестве инструмента для минимизации потерь в случае взлома.

Хакер договаривается о вознаграждении за обнаружение ошибок с протоколом Shezmu

В сентябре, используя протокол yield, Shezmu вернул почти 5 миллионов долларов украденной криптовалюты путем переговоров с хакером, согласившись на более высокую сумму вознаграждения.

Изначально Shezmu предложил хакеру вознаграждение в размере 10% через сообщение в блокчейне и потребовал вернуть 90% украденных средств в течение 24 часов.

Источник: Shezmu

Хакер потребовал 20% украденных средств в качестве вознаграждения, на что протокол согласился и получил оставшиеся украденные средства.