کشف باگ حیاتی در مستندات کازموس و پاداش ۱۵۰هزار دلاری

یک محقق امنیتی در حوزه وب ۳ توانست با مطالعه مستندات شبکه Cosmos و کشف یک باگ بحرانی که می‌توانست بلاک‌چین Evmos و تمام برنامه‌های غیرمتمرکز (DApps) ساخته شده بر روی آن را متوقف کند، جایزه‌ای به مبلغ ۱۵۰٬۰۰۰ دلار دریافت کند.

محقق امنیتی با نام مستعار "jayjonah.eth" در قالب برنامه Bug Bounty Evmos که از نوامبر ۲۰۲۲ فعال بوده است، به دلیل شناسایی یک آسیب‌پذیری در بلاک‌چین Evmos، مبلغ ۱۵۰ هزارتا دریافت کرد.

او با اشاره به برخورد با مفهوم "حساب‌های ماژول" در مستندات Cosmos توضیح داد:

"اگر این آدرس‌ها (حساب‌های ماژول) به صورت خارج از قوانین مورد انتظار ماشین حالت وجهات دریافت کنند، امکان شکستن تعادل و متوقف شدن شبکه وجود دارد."

آزمایش توقف بلاک‌چین Evmos بر اساس مستندات Cosmos

این محقق امنیتی برای آزمایش این نظریه وجهاتی را به حساب ماژول در یک محیط آزمایشی ارسال کرد و گزارش داد:

"در این نقطه، بلاک‌ها دیگر تولید نمی‌شوند و زنجیره به طور کامل متوقف شده است. این امر بلاک‌چین Evmos و تمام DAppهای ساخته شده بر روی آن را می‌شکند."

او عنوان کرد که تیم Evmos پیش از عمومی شدن این اطلاعات، این باگ را رفع کرده است.

این محقق برای شناسایی باگ بحرانی، بالاترین سطح پرداخت را دریافت کرد. در پایان، jayjonah.eth از محققان امنیتی خواست تا به مطالعه دقیق مستندات پروژه‌ها بپردازند و افزود "گاهی اوقات بحرانی‌ترین باگ‌ها می‌توانند بسیار ساده باشند."

علاوه بر کمک به پروژه‌ها در کاهش ریسک‌های حملات سایبری، برنامه‌های Bug Bounty نیز به عنوان ابزاری برای کاهش زیان‌ها در صورت وقوع هک استفاده می‌شوند.

مذاکره هکر با پروتکل Shezmu درباره پاداش باگ

در ماه سپتامبر، پروتکل Shezmu با استفاده از یکی از پروتکل‌های بازدهی، توانست از طریق مذاکره با یک هکر و پس از موافقت با درخواست پاداش بالاتر، نزدیک به ۵ میلیون دلار کریپتو دزدیده شده را بازیابی کند.

در ابتدا، Shezmu برای هکر ۱۰٪ پاداش از طریق پیامی در زنجیره پیشنهاد داده و خواستار بازگشت ۹۰٪ از وجهات دزدیده شده ظرف ۲۴ ساعت شده بود.

اما هکر درخواست کرد ۲۰٪ از وجهات دزدیده به عنوان پاداش به او داده شود که پروتکل موافقت کرد و وجهات باقی‌مانده را دریافت کرد.