La plataforma de staking de ETH 2.0 descubre un error multimillonario en el código de sus rivales.

El martes Aviso legal una vulnerabilidad de ETH 2.0 estaca El servicio StakeWise puede haber salvado millones de dólares en ETH que estaban en riesgo en los protocolos de staking rivales Lido y Rocket Pool.

La Aviso legal se produjo mientras la comunidad Ethereum se prepara para un cambio de una prueba de trabajoconsenso paraprueba de participación– la conversión más grande y técnicamente más compleja de su tipo en la historia de blockchain con más de20 mil millones de dólares en ETH apostado en la línea.

El personal de StakeWise señaló la Aviso legal en Twitter y señaló que sombrero blanco Quien reportó la vulnerabilidad fue Dmitri Tsumak, ONE de los cofundadores del protocolo.

El momento es oportuno, ya que Rocket Pool tenía previsto lanzar su red principal en 24 horas. El proyecto ha pospuesto el lanzamiento hasta que se implemente la solución.

Tsumak le dijo a CoinDesk que acordó con Immunefi, Lido y Rocket Pool abstenerse de revelar la naturaleza exacta del error mientras las plataformas afectadas trabajan en un parche, pero tanto Lido como Rocket Pool planean desembolsar la recompensa máxima permitida para Immunefi de $ 100,000, lo que indica un error de "gravedad crítica", según el cofundador de StakeWise, Kirill Kutakov.

Tsumak contactó inicialmente a Rocket Pool acerca de la vulnerabilidad, y cuando quedó claro que otros protocolos podrían tener el mismo error, optó por contactar a la plataforma de recompensas Immunefi y también a Lido.

“Tan pronto como informé a Rocket Pool, conversamos sobre quién más podría verse afectado y, en el caso de Lido, estaban viendo el mismo problema con una interpretación BIT diferente”, dijo Tsumak.

Un hilo de tweets de Lido mencionó que “por debajo de 100″ ETH era vulnerable el martes, pero un Aviso legal de vulnerabilidades Un informe publicado hoy indicó que más de 20.000 ETH con un valor de 72 millones de dólares estaban en riesgo.

En ambos casos, el error permitió a los validadores u operadores de nodos drenar los fondos de los depositantes, una falla en la forma en que se registran los validadores con ETH 2.0.

Lido no respondió a una Request de comentarios al cierre de esta edición.

Rocket Pool se complace en que su programa de recompensas por errores haya permitido Explora un grave exploit que afectó a varios proveedores de staking. En consonancia con la Aviso legal responsable, colaboramos con nuestro programa de recompensas por errores (Immunefi) para alertar rápidamente a los demás equipos. Agradecemos profundamente a Dmitri por informar sobre el exploit, declaró Darren Langley, gerente de Rocket Pool, en un comunicado a CoinDesk.

Además, la comunidad Rocket Pool está planeando un lanzamiento de tokens no fungibles (NFT) para la comunidad StakeWise para conmemorar el evento, según conversaciones en la aplicación de mensajería Discord.

Kutakov dijo que la decisión de notificar a los rivales de la plataforma fue ONE.

"No le deseamos esta vulnerabilidad a nuestros competidores, y es por eso que optamos por la vía amistosa y les informamos al respecto antes del lanzamiento", dijo.

Revisión de seguridad

StakeWise pudo identificar el error porque estaba trabajando en la descentralización de la versión 2 de su propia plataforma, que incluirá una arquitectura multivalidador. StakeWise permite depósitos de ETH con intereses, pero utiliza un sistema de nodo único.

El proyecto cree que ha estado pasando desapercibido durante algún tiempo debido a esa centralización. El token RPL de Rocket Pool alcanza actualmente una capitalización de mercado de 353,5 millones de dólares, y el LDO de Lido, de 103 millones de dólares. SWISE de StakeWise, por su parte, tiene una capitalización de mercado de 4 millones de dólares.

Este informe de errores es simplemente otro ejemplo de la filosofía de código abierto de Tsumak, dijo Kutakov.

"Dmitri es conocido en la comunidad StakeWise por proponer ideas que impulsan el sector", comentó Kutakov sobre su colega.

Señaló el Horrocrux de Tsumak, una herramienta de código abierto que permite a los proyectos descentralizar una clave de retiro.

Si bien StakeWise reconoció que el informe de errores es una especie de golpe de marketing, su objetivo final es garantizar un lanzamiento saludable para ETH 2.0.

“Es fantástico generar conciencia, pero vemos este espacio como un esfuerzo colaborativo en el que todos trabajan para hacer realidad la prueba de participación de Ethereum”, afirmó Kutakov.

StakeWise v2 ahora está bajo auditoría, con una fecha de lanzamiento prevista para noviembre.

ACTUALIZACIÓN (7 de octubre, 15:36 UTC): Corrige el nombre de Dmitri Tsumak en todo momento; agrega comentario de Rocket Pool.