Компания Jump Crypto, разработчик Web3, недавно обнаружила критическую уязвимость в сети State Guardian Network (SGN) компании Celer, потенциально ставящую под угрозу сеть и зависящие от нее приложения dent включая cBridge компании Celer. отчет Jump Crypto показал, что уязвимость позволила злоумышленникам использовать ошибку в коде SGN EndBlocker, что позволило им несколько раз голосовать за одно и то же обновление.
Разработчик Web3 выпускает свой отчет
Эта уязвимость в коде позволила злоумышленникам усилить свое право голоса, потенциально одобрив вредоносные или недействительные обновления. Celer, блокчейн на основе Cosmos , облегчающий межсетевое взаимодействие, опубликовал части кода SGNv2 вне сети на GitHub, что побудило Jump просмотреть сценарий и в частном порядке уведомить команду протокола Celer об уязвимости. Celer оперативно устранил проблему, исправив ее до того, как произошло какое-либо злонамеренное использование.
Уязвимость предоставила злоумышленникам ряд возможностей для проверки подлинности, в том числе возможность манипулировать событиями в цепочке, такими как мостовые передачи, отправка сообщений, а также размещение и делегирование основного trac Celer SGN. В то время как Celer реализовал механизмы защиты для предотвращения полной кражи средств моста, в отчете разработчика Web3 были выделены три конкретных меры безопасности. К ним относятся задержка перевода, вызванная бридж- trac для переводов, превышающих определенную сумму, механизм контроля объема, ограничивающий trac токенов в течение короткого периода, и экстренная остановка trac в ответ на недостаточное обеспечение. события, вызванные вредоносными передачами.
Однако, несмотря на эти меры безопасности, в отчете подчеркивалось, что протокол не был полностью защищен. Ограничения на количество транзакций применяются к цепочке и токену, а это означает, что злоумышленник потенциально может эксфильтровать токены на сумму около 30 миллионов долларов до того, как trac будут остановлены. Эта сумма составляет около 23% от текущей общей заблокированной стоимости Celer.
Celer решает проблему и расширяет свою программу вознаграждения за обнаружение ошибок
В отчете разработчика Web3 также подчеркивается, что, хотя встроенные механизмы Celer могут защитить его бридж- trac , децентрализованные приложения (dApps), созданные на основе межсетевого обмена сообщениями Celer, по умолчанию останутся уязвимыми для этих типов уязвимостей.
У Celer есть программа вознаграждения за ошибки, предлагающая вознаграждение в размере 2 миллионов долларов за уязвимости в своем мосту. Однако он не распространяется на ошибки вне сети, такие как ошибка, обнаруженная в сети SGNv2. Jump Crypto ведет переговоры с Celer о добавлении сети SGNv2 в свою программу вознаграждения за обнаружение ошибок, и потенциальная выплата за отчет Jump в настоящее время оценивается командой Celer.
Выявление и быстрое устранение этой уязвимости подчеркивают важность строгих мер безопасности и программ вознаграждения за обнаружение ошибок в индустрии блокчейнов dent Своевременно решая эти проблемы, сети , как Celer, могут повысить свою устойчивость и защитить активы пользователей в развивающемся ландшафте Web3.