Bir Web3 güvenlik araştırmacısı, Evmos blok zincirini ve tüm merkeziyetsiz uygulamalarını durdurabilecek kritik bir hatayı tespit ettiği için Cosmos Network’ten 150.000 $ aldı.
29 Ekim’de, Spearbit’ten jayjonah.eth kullanıcı adıyla bir Web3 güvenlik araştırmacısı, Evmos (EVMOS) blok zincirindeki bir hatayı bulmasıyla ilgili yazdığı bir blog yazısını içeren bir X gönderisi paylaştı. Bu hata, blok zincirinin operasyonları için felakete yol açabilecek bir hata olabilirdi.
Yapmış olduğu çalışmalar Cosmos Network tarafından 150.000 $ ödeme ile ödüllendirildi. Hatası, Kasım 2022’den beri aktif olan Immunefi hata ödül platformunda Evmos Hata Ödül Programı’na katılırken keşfetti.
Bir kripto hata ödül programı, geliştiricilere ve araştırmacılara bir sistemdeki hataları ve güvenlik açıklarını tespit etmeleri için teşvikler sunar.
Blog yazısında, araştırmacı Cosmos belgelerini gözden geçirirken “modül hesapları” kavramına rastladığını açıkladı ve bu incelemenin potansiyel sorunları tanımlamadaki “ilk adım” olduğunu belirtti; çünkü belgeler, bir blok zinciri anlamak için “temel” sağlar.
Belgelerin içinde şu şekilde yazılı bir bölüm buldu:
“Genellikle, bu adresler modül hesaplarıdır. Eğer bu adresler, durum makinesinin beklenen kuralları dışındaki fonları alırsa, invarianslar muhtemelen ihlal edilir ve bu, ağın durmasına neden olabilir,” diye yazdı Evmos.
jayjonah.eth’e göre, bu maddenin, kullanıcılar modül hesaplarına fon gönderirse blok zincirinin bozulabileceğini gösterdiğini söyledi. Ardından bu durumu test ederek modül hesaplarına fon gönderdi.
“Bu noktada, artık başka bloklar üretilmiyor ve zincir tamamen durdu. Bu, Evmos blok zincirini ve üzerine inşa edilmiş tüm DApp’leri bozuyor,” diye yazdı.
Bulduğu sonuçları Evmos ekibine bildirdi ve “kritik” seviye bir hata için verilen en yüksek ödül olan 150.000 $ aldı. Araştırmacı, hatanın “kolay kapılacak bir meyve” olduğunu — basit ama gözden kaçırılması kolay olduğunu vurguladı.
“Bu hata, bir güvenlik araştırmacısı olarak bana birkaç önemli şey öğretti. İlki ve en belirgini, araştırdığınız projenin belgelerini her zaman dikkatlice okumak,”
-jayjonah.eth.
Diğer projelerin de sistemlerindeki gizli tehditleri tespit etmek için hata ödül programları başlattığı biliniyor. Geçen Ağustos’ta, merkeziyetsiz bir dikkat katmanı projesi olan Layer3, HackenProof ile ortaklık yaparak bir hata ödül programı başlattı. Hata ödülü, 500.000 $’a kadar ödül sunuyor.
Temmuz ayında, Immunefi Ethereum Vakfı ile birlikte, Ethereum ağının güvenliğini test etmek ve geliştirmek için tasarlanmış bir denetim yarışması olan “Attackathon”u başlattı.
