Соучредитель стейкингового сервиса Ethereum 2.0 Stake Wise Дмитрий Цумак обнаружил уязвимость в конкурирующих протоколах Rocket Pool и Lido, которая может привести к краже пользовательских средств.
1/ Last night around 7PM UTC, our founder Dmitri Tsumak (@tsudmi) discovered a severe vulnerability in @Rocket_Pool that could lead to the theft of users’ funds if exploited.
Upon further examination, it became apparent that @LidoFinance’s architecture was also affected. https://t.co/xlpZMYkFMe
— StakeWise (@stakewise_io) October 5, 2021
Разработчик воздержался от публичного раскрытия деталей бага. В Rocket Pool и Lido Finance подтвердили информацию. Первый отложил намеченный на 6 октября запуск, а команда второго заявила, что под угрозой оказались около 20 000 ETH (~$71,5 млн)
Изначально в Lido Finance сообщили, что потенциальные потери ограничены 100 ETH.
«Критическая уязвимость была представлена на рассмотрение в баунти-программу Lido. В настоящее время потенциальный ущерб невелик (менее 100 ETH), как и риск возникновения проблем, поскольку уязвимость могут использовать только операторы нод, внесенные в белый список», — заявили разработчики.
В Lido Finance подчеркнули, что операторы нод — «уважаемые и этичные компании», которые играют важную роль в проекте. Организация считает, что они не воспользуются уязвимостью. Однако для снижение риска лимиты стейкинга для этих участников временно ограничат.
Сервис Rocket Pool сообщил, что на следующей неделе приступит к тестированию предполагаемого метода устранения уязвимости. Разработчики «находятся в тесном контакте» с аудиторами из Sigma Prime — 18 октября они проверят предлагаемую концепцию.
Internal testing of our proof of concept fix for the raised exploit will begin next week. We have been in close communication with our auditors @sigp_io who will be confirming the fix from 18th Oct.
We will make sure our awesome community are kept up to date as things develop.
— Rocket Pool (@Rocket_Pool) October 8, 2021
Оба проекта назначили в сервисе Immunefi максимально допустимую награду за обнаружение бага ($100 000), что говорит о его серьезности.
Рассматриваемая уязвимость позволяет валидатором или оператором нод присваивать средства пользователей — это недоработка в механизме регистрации первых в сети Ethereum 2.0. Сообщество обратило внимание на потенциальную проблему еще в ноябре 2019 года.
«Наличие уязвимости в кодовой базе является долгосрочным упущением», — признали в Lido.
Напомним, в августе 2021 года партнер Paradigm Сэм Сан выявил и помог устранить уязвимость в DeFi-проекте SushiSwap, которая грозила потерей свыше 109 000 ETH ($350 млн на тот момент).
Источник: forklog.com
С ростом цен все больше россиян интересуются биткоином. Но всемирное увлечение этим криптоактивом также привело…
В наше время криптовалюты стали неотъемлемой частью мировой экономики и финансов. Они предоставляют уникальные возможности…
Виталий Бутерин, основатель Ethereum, имеет тесные связи с Wanxiang Group, китайской компанией, зависящей от правительства…
Обмен юсдт (Tether TRC20 USDT) на российские рубли (RUB) на карты РФ - это процесс…
Каждый посетитель интернет-казино жаждет получить крупный выигрыш с наименьшими рисками. Для такой игры лучше всего…
Появление криптовалюты произвело революцию в цифровых активах, позволив частным лицам безопасно и легко обмениваться ценностями…
Bitcoin и другая криптовалюта всегда вызывала противоречивые мнения у разных участников финансового сектора. Не исключением…
Рынок финансовых услуг России стабильно развивается. Каждый день компании предлагают новые программы финансирования для потенциальных…
Кэш-память является одним из ключевых компонентов процессора, который играет важную роль в оптимизации производительности ноутбука…
Для того чтобы стать успешным и востребованным риэлтором, нужно хорошо разбираться в объектах недвижимости и…
По данным Организации Объединенных Наций, пандемия и связанная с ней нестабильная экономика приводят к росту…
В последнее время банки активно предлагают различные программы финансирования граждан. Одним из удобных и технологичных…
Доверенный торговый счет – это соглашение между трейдером и инвестором, в результате которого трейдер торгует…
Рейтинг лучших ботов для торговли криптовалютой на бирже может меняться со временем и зависит от…
Криптовалюты уже давно стали отличным вариантом заработка. Волатильность рынка позволяет получать хороший доход. Поэтому трейдеры…
В наше время деньги нужны всем и всегда. Но иногда бывают ситуации, когда они нужны…
Aptos - это блокчейн L1, который стремится стать самым безопасным и масштабируемым блокчейном в истории.…
Ethereum является одной из самых перспективных криптовалют и в ближайшем будущем может отнять трон у…
Дефи криптовалюта - это новый вид валюты, которая появилась на рынке в последние годы. Она…
Ноутбуки 2-в-1, также известные как конвертируемые ноутбуки — эти устройства давно стали отдельным сегментом в…
Найбільша криптовалютна біржа Європи з українським корінням — WhiteBIT — створила спеціальні умови для залучення…