安全にパッチが適用されたイーサリアム2.0ステーキングプールの重大なバグ

ETH2.0ステーキングプラットフォームStakeWiseの創設者であるDmitriTsumakは、ETHステーキングの競合他社であるRocketPoolとLidoに影響を与える深刻な脆弱性を発見しました。 このエクスプロイトにはパッチが適用され、Rocket PoolとLidoはそれぞれ、問題を特定するためにTsumakに$ 100,000のバグ報奨金を支払っています。

イーサリアムステーキングプールのバグパッチ

ETH2.0ステーキングプールのファンドに影響を与える脆弱性に安全にパッチが適用されました。

月曜日の夜遅く、 StakeWise 創設者のDmitriTsumakは、ノードオペレーターがETH2.0液体ステーキングプールから資金を削除できるエクスプロイトを発見しました。 Tsumakは当初、間もなくリリースされるETHステーキングプロトコルのアーキテクチャにおけるエクスプロイトを特定しました ロケットプール。 さらなる調査の下で、バグは影響を与えることも判明しました リド、イーサリアムで現在最大のETH 2.0ステーキングプール、 ロックされた合計値 46.6億ドルの。

1 /昨夜UTC午後7時頃、創設者のDmitri Tsumak（@tsudmi）で深刻な脆弱性を発見 @Rocket_Pool これが悪用された場合、ユーザーの資金の盗難につながる可能性があります。

さらに調べてみると、 @LidoFinanceのアーキテクチャも影響を受けました。 https://t.co/xlpZMYkFMe

-StakeWise（@stakewise_io） 2021年10月5日

Rocket PoolとLidoによって選択されたノードオペレーターは信頼されていますが、このエクスプロイトは、プロトコルを管理するスマートコントラクトアーキテクチャの重大な脆弱性を浮き彫りにします。 バグが発生している間、約100ETHのユーザーの資金が危険にさらされていました。

Tsumakがエイリアスを使用してバグを報告した後、Rocket Poolチームは、プロトコルの資金も危険にさらされていることをLidoにすぐに通知しました。 翌朝までに、両方のプロトコルは、ユーザーの資金の安全を確保するための対策を講じていました。

バグは、ロケットプールがイーサリアムメインネットで公開される予定のわずか24時間前に特定されました。 発売は延期されました。

Rocket PoolとLidoは、ユーザーの資金を確保するための一時的なパッチを実装しましたが、問題はまだ完全には修正されていません。 どちらのプロトコルも一連の行動をチャーターしており、現在、エクスプロイトのより永続的な解決策に向けて取り組んでいます。

事件が解決した後、関係者はソーシャルメディアを利用して、それぞれのコミュニティに何が起こったのかを報告しました。 ロケットプールはその拡張 感謝 Rocket PoolのライバルであるStakeWiseの創設者であるにもかかわらず、バグを報告してくれたTsumakに。

Twitterでは、StakeWise 対処 パッチが適用された後、エクスプロイトの情報を公開することを決定した理由は次のとおりです。

「StakeWiseでは、競合他社と取引する場合でも、集合的に安全であるほど、＃ETH2ステーキングエコシステム全体が強力になると信じています。 これを達成するために、私たちはお互いの背中を伝え、見守る必要があります。」

Rocket PoolとLidoの両方が、問題を特定するためにTsumakに$ 100,000を支払うことに同意しました。これは、Lidoのバグ報奨金プログラムに詳述されている最大額です。

DeFiプロトコルの脆弱性は珍しいことではありませんが、ハッカーがそれらを悪用する前に特定されることがよくあります。 8月、Paradigm.xyzのSamzcsunは、SushiSwapのMISOスマートコントラクトに3億5000万ドルの脆弱性を検出しました。 このエクスプロイトは、ハッカーが資金を調達する前に特定され、修正されました。 寿司チーム 有料 Samzcsunは、バグの特定と修正を支援してくれた100万米ドルの賞金を受け取りました。

免責事項：この機能を書いている時点で、作者はBTC、ETH、および他のいくつかの暗号通貨を所有していました。

このニュースは、私たちの優先DeFiパートナーであるANKRによって提供されました。