Natuklasan ng ETH 2.0 Staking Platform ang Multimillion-Dollar Bug sa Rivals' Code

Noong Martes, ang Disclosure ng isang kahinaan mula sa ETH 2.0 staking Ang serbisyo ng StakeWise ay maaaring nakatipid ng milyun-milyong dolyar na halaga ng ETH na nasa panganib sa mga kalabang protocol ng staking na Lido at Rocket Pool.

Dumating ang Disclosure habang naghahanda ang komunidad ng Ethereum para sa paglipat mula sa a patunay-ng-trabaho pinagkasunduan sa proof-of-stake – ang pinakamalaki at pinaka teknikal na kumplikadong conversion ng uri nito sa kasaysayan ng blockchain na may higit pa $20 bilyon sa staked ETH sa linya.

Na-flag ng staff ng StakeWise ang Disclosure sa Twitter, na binanggit na ang puting sumbrero na nag-ulat ng kahinaan ay si Dmitri Tsumak, ONE sa mga co-founder ng protocol.

Ang timing ay hindi inaasahan, dahil ang Rocket Pool ay nakatakdang ilunsad ang mainnet nito sa loob ng 24 na oras. Ipinagpaliban ng proyekto ang paglulunsad hanggang sa maisagawa ang pag-aayos.

Sinabi ni Tsumak sa CoinDesk na sumang-ayon siya sa Immunefi, Lido at Rocket Pool na pigilin ang pagsisiwalat ng eksaktong katangian ng bug habang gumagana ang mga apektadong platform sa isang patch, ngunit parehong pinaplano ng Lido at Rocket Pool na ibigay ang maximum na pinahihintulutang pabuya ng Immunefi na $100,000 – na nagpapahiwatig ng bug ng “critical severity,” ayon sa Stakell Kirikov.

Una nang nakipag-ugnayan si Tsumak sa Rocket Pool tungkol sa kahinaan, at nang maging malinaw na ang ibang mga protocol ay maaaring magkaroon ng parehong bug, pinili niyang makipag-ugnayan sa bounty platform na Immunefi gayundin kay Lido.

"Sa sandaling nag-ulat ako sa Rocket Pool, nag-chat kami tungkol sa kung sino pa ang maaaring maapektuhan, at sa kaso ni Lido, nakikita nila ang parehong isyu sa BIT magkaibang interpretasyon," sabi ni Tsumak.

Binanggit ng isang tweet thread mula kay Lido na "sa ilalim ng 100″ ETH ay mahina noong Martes, ngunit isang Disclosure ng kahinaan na inilathala ngayon ay nagsabi na pataas ng 20,000 ETH na nagkakahalaga ng $72 milyon ang nasa panganib.

Sa parehong mga kaso, pinapayagan ng bug ang mga validator o node operator na maubos ang mga pondo ng depositor – isang depekto sa kung paano nakarehistro ang mga validator sa ETH 2.0.

Hindi tumugon si Lido sa isang Request para sa komento sa pamamagitan ng press time.

"Natutuwa ang Rocket Pool na ang programa nito sa bug bounty ay humantong sa Discovery ng isang seryosong pagsasamantala na nakaapekto sa maraming provider ng staking. Alinsunod sa responsableng Disclosure , nagtrabaho kami sa aming bug bounty program (Immunefi) upang alertuhan ang iba pang mga team nang mabilis. Ipinaabot namin ang aming pinakamainit na pasasalamat kay Dmitri sa pag-uulat ng pagsasamantala," sabi ng manager ng Rocket Pool na si Darren Langley sa isang pahayag sa CoinDesk.

Bukod pa rito, nagpaplano ang komunidad ng Rocket Pool ng non-fungible token (NFT) drop para sa StakeWise community upang gunitain ang kaganapan, ayon sa mga pag-uusap sa Discord messaging app.

Sinabi ni Kutakov na ang desisyon na abisuhan ang mga karibal ng platform ay ONE.

"T namin nais ang kahinaan na ito sa aming mga kakumpitensya, at iyon ang dahilan kung bakit kami ay pumunta sa mapayapa na ruta at ipaalam sa kanila ang tungkol dito bago ang kanilang paglulunsad," sabi niya.

Pagsusuri sa seguridad

Natukoy ng StakeWise ang bug dahil ginagawa nitong desentralisado ang v2 ng sarili nitong platform, na magsasama ng isang multi-validator na arkitektura. Nagbibigay-daan ang StakeWise para sa mga depositong ETH na may interes ngunit gumagamit ng single-node system.

Naniniwala ang proyekto na ito ay "lumilipad sa ilalim ng radar" sa loob ng ilang panahon dahil sa sentralisasyong iyon. Ang token ng RPL ng Rocket Pool ay nasa $353.5 milyon na market capitalization, at ang LDO ng Lido ay nasa $103 milyon. Ang SWISE ng StakeWise, samantala, ay may $4 milyon na market cap.

Ang ulat ng bug na ito ay isa lamang halimbawa ng open-source ethos ng Tsumak, sabi ni Kutakov.

"Kilala si Dmitri sa komunidad ng StakeWise sa paglalagay ng mga bagay na nagpapasulong sa espasyo," sabi ni Kutakov tungkol sa kanyang kasamahan.

Itinuro niya ang Horcrux ni Tsumak, isang open-source na tool na nagpapahintulot sa mga proyekto na i-desentralisa ang isang withdrawal key.

Bagama't kinilala ng StakeWise na ang ulat ng bug ay isang kudeta sa marketing, ang pangwakas na layunin nito ay tiyakin ang isang malusog na paglulunsad para sa ETH 2.0.

"Mahusay na makabuo ng kamalayan, ngunit nakikita namin ang puwang na ito bilang isang pakikipagtulungang pagsisikap sa lahat na nagtatrabaho upang gawing katotohanan ang patunay ng taya ng Ethereum," sabi ni Kutakov.

Nasa ilalim na ngayon ng audit ang StakeWise v2, na may target na petsa ng paglulunsad sa Nobyembre.

I-UPDATE (Okt. 7, 15:36 UTC): Itinutuwid ang pangalan ni Dmitri Tsumak sa kabuuan; nagdagdag ng komento mula sa Rocket Pool.