В протоколах стейкинга Ethereum 2.0 обнаружена критическая уязвимость

Соучредитель стейкингового сервиса Ethereum 2.0 Stake Wise Дмитрий Цумак обнаружил уязвимость в протоколах Rocket Pool и Lido, которая может привести к краже пользовательских средств.

В Rocket Pool и Lido Finance подтвердили сведения. Первый отложил запуск, намеченный на 6 октября, команда второго заявила, что под угрозой оказались около 20 тыс. эфиров (примерно 71,5 млн долларов)

Изначально в Lido Finance сообщили, что потенциальные потери ограничены 100 ETH. Разработчики заявили:

«Критическая уязвимость была представлена на рассмотрение в баунти-программу Lido. В настоящее время потенциальный ущерб невелик (менее 100 ETH), как и риск возникновения проблем, поскольку уязвимость могут использовать только операторы нод, внесенные в белый список».

В Lido Finance отметили, что операторы нод — «уважаемые и этичные компании», которые, скорее всего, не воспользуются уязвимостью. Однако для снижение риска лимиты стейкинга для этих участников временно ограничат.

Сервис Rocket Pool сообщил, что на следующей неделе начнет тестировать предполагаемый метод устранения уязвимости.

Оба проекта назначили в сервисе Immunefi максимально допустимую награду за обнаружение бага в размере 100 тыс. долларов.

Рассматриваемая уязвимость позволяет валидатором или оператором нод присваивать средства пользователей — это недоработка в механизме регистрации первых в сети Ethereum 2.0.

Источник: https://ru.ihodl.com/

iMag.one - Самые важные новости достойные вашего внимания из более чем 300 изданий!