Un pirate informatique éthique a gagné une prime de bogue record de 10 millions de dollars après avoir découvert une vulnérabilité de sécurité critique dans le contrat de pont central Wormhole sur Ethereum.

Wormhole est un protocole décentralisé et universel de transmission de messages qui permet l’interopérabilité entre les blockchains telles qu’Ethereum, Terra et Binance Smart Chain (BSC).

Tenu en rançon

Un attaquant exploitant la vulnérabilité « aurait pu détenir l’intégralité du protocole [to] rançon avec la menace que le pont Ethereum Wormhole serait maçonné, et tous les fonds résidant dans ce contrat perdus à jamais », selon un preuve de concept (PoC) publié sur GitHub par Immunefi.

Le PoC a également noté que « 736 millions de dollars d’actifs [were] résidant dans le contrat au moment de la soumission ».

Wormhole a reçu le paiement maximal dans le cadre de son hébergement Immunefi programme de primes aux bogues à un chasseur de bogues avec le pseudonyme en ligne ‘satya0x’.

La faille, décrite comme « un bogue d’autodestruction d’implémentation de proxy évolutif », a été validée et corrigée le 24 février, le jour même où Satya0x a signalé le problème.

Derrière le bogue

La vulnérabilité Wormhole est apparue après qu’une implémentation d’un proxy Universal Upgradeable Proxy Standard (UUPS) « n’a pas été initialisée après qu’une correction de bogue précédente ait annulé l’initialisation d’origine, ce qui signifiait qu’un attaquant pouvait passer son propre ensemble Guardian et procéder à la mise à niveau en tant que Guardian qu’il contrôlait. », selon un article de blog publié par Immunefi.

CONSEILLÉ Les États-Unis révisent leur politique concernant la loi sur la fraude et les abus informatiques et ne poursuivront pas les recherches de bonne foi

Un attaquant pourrait alors forcer une tentative de mise à niveau avec submitContractUpgrade()provoquant une APPEL DÉLÉGUÉ à une adresse soumise par un attaquant, qui, en exécutant un AUTO-DESTRUCTION opcode pourrait détruire le contrat d’implémentation.

« Je suis fier d’avoir joué un rôle dans l’atténuation d’une grave vulnérabilité et d’une menace systémique pour l’écosystème », a déclaré Satya0x, qui a salué la gestion par Wormhole de « l’ensemble du processus de prime de bogue » et Immunefi comme « un expert, visible et neutre de manière crédible ». tierce personne ».

Aubaine de la blockchain

Le motif d’offrir une récompense aussi énorme est illustré par les pertes fréquentes et énormes résultant de piratages réussis de plates-formes de financement décentralisé (DeFi) – notamment le 325 millions de dollars volés à Wormhole lui-même plus tôt cette année.

Le paiement éclipse le précédent record de primes de bogues – une récompense de 2 millions de dollars versée par la société de technologie blockchain Polygon au pirate éthique Gerhard Wagner en octobre 2021 pour une vulnérabilité de «double dépense».

Pour mettre la récompense Wormhole dans une perspective encore plus précise, la somme est supérieure au montant total payés dans tous les programmes Google Vulnerability Reward (VRP) en 2021, 8,7 millions de dollars.

MakerDAO, une autre plate-forme de financement décentralisé (DeFi), offre également un paiement maximum potentiel de 10 millions de dollars.