Naprawiono krytyczny błąd w pulach stakingowych Ethereum 2.0

Dmitri Tsumak, założyciel platformy do stakowania ETH 2.0 StakeWise, odkrył poważną lukę mającą wpływ na konkurencję Rocket Pool i Lido. Exploit został już załatany, a Rocket Pool i Lido zapłacą Tsumakowi po 100 000 USD za zidentyfikowanie błędu.

Późnym wieczorem w poniedziałek założyciel StakeWise, Dmitri Tsumak, odkrył lukę, która pozwalała operatorom węzłów na usuwanie funduszy z płynnych puli stakingowych ETH 2.0. Tsumak początkowo zidentyfikował exploit w architekturze mającego się wkrótce rozpocząć protokołu stakingu ETH – Rocket Pool. W toku dalszego śledztwa okazało się jednak, że błąd dotyczył również Lido, największej obecnie puli stakingowej ETH 2.0 na Ethereum, której łączna zablokowana wartość wynosi 4,66 miliarda dolarów.

1/ Last night around 7PM UTC, our founder Dmitri Tsumak (@tsudmi) discovered a severe vulnerability in @Rocket_Pool that could lead to the theft of users’ funds if exploited.

Upon further examination, it became apparent that @LidoFinance‘s architecture was also affected. https://t.co/xlpZMYkFMe

— StakeWise (@stakewise_io) October 5, 2021

Chociaż operatorzy węzłów wybrani przez Rocket Pool i Lido są zaufani, exploit podkreśla kluczową lukę w architekturze smart kontraktów rządzących tymi protokołami. Przed naprawieniem błędu, zagrożonych było około 100 ETH użytkowników.

Po tym jak Tsumak zgłosił błąd, zespół Rocket Pool szybko poinformował Lido, że fundusze w jego protokole również są zagrożone. Do następnego ranka oba protokoły podjęły działania, aby zapewnić bezpieczeństwo środków swoich użytkowników.

Błąd został zidentyfikowany zaledwie 24 godziny przed uruchomieniem Rocket Pool na głównej sieci Ethereum. Premiera została teraz przełożona.

Wdrożono tymczasowe poprawki

Rocket Pool i Lido wdrożyły tymczasowe poprawki, aby zabezpieczyć fundusze użytkowników, ale problem nie został jeszcze całkowicie rozwiązany. Oba protokoły ustaliły sposób działania i obecnie pracują nad bardziej trwałym rozwiązaniem.

Po wprowadzeniu poprawek, obie platformy poinformowały o sytuacji w swoich social mediach. Rocket Pool wyraził wdzięczność Tsumakowi za zgłoszenie błędu, pomimo tego, że jest on kunkurentem StakeWise.

1/ Yesterday our bug bounty program helped discover an exploit that also affected other staking providers, as a result we are postponing launch to implement a fix.

We would like to extend our warmest thanks to @tsudmi for raising the exploit.

— Rocket Pool (@Rocket_Pool) October 5, 2021

Na Twitterze, StakeWise odniosło się do tego, dlaczego zdecydowało się na upublicznienie informacji o exploicie, gdy został on już załatany, stwierdzając:

W StakeWise wierzymy, że nawet gdy mamy do czynienia z naszymi konkurentami, im bardziej bezpieczni jesteśmy wspólnie, tym silniejszy staje się cały ekosystem stakingu #ETH2. Aby to osiągnąć, musimy się komunikować i wzajemnie pilnować swoich pleców.

 

Zarówno Rocket Pool jak i Lido zgodziły się zapłacić Tsumakowi 100 000 USD za zidentyfikowanie błędu. Jest to maksymalna kwota określona w programie bug bounty Lido.

Podczas gdy luki w protokołach DeFi nie są rzadkością, często są one identyfikowane zanim hakerzy zdążą je wykorzystać. W sierpniu, Samzcsun z Paradigm.xyz wykrył lukę wartą 350 milionów dolarów w smart kontraktach MISO SushiSwap. Błąd został zidentyfikowany i naprawiony, zanim hakerzy zdążyli przejąć jakiekolwiek środki. Zespół Sushi wypłacił Samzcsunowi bounty w wysokości 1 mln USDC.