La plateforme de jalonnement ETH 2.0 découvre un bug de plusieurs millions de dollars dans le code de ses concurrents

Mardi, la Déclaration de transparence d'une vulnérabilité de ETH 2.0 jalonnement Le service StakeWise a peut-être permis d'économiser des millions de dollars d' ETH qui étaient en danger dans les protocoles de jalonnement rivaux Lido et Rocket Pool.

Cette Déclaration de transparence intervient alors que la communauté Ethereum se prépare à passer d'un preuve de travailconsensus pourpreuve d'enjeu– la conversion la plus importante et la plus complexe techniquement de son genre dans l’histoire de la blockchain avec plus de20 milliards de dollars en ETH jalonné sur la ligne.

Le personnel de StakeWise a signalé la Déclaration de transparence sur Twitter, notant que chapeau blanc C'est Dmitri Tsumak, ONEun des cofondateurs du protocole, qui a signalé la vulnérabilité.

Le timing est opportun, car Rocket Pool devait lancer son réseau principal dans les 24 heures. Le projet a reporté le lancement jusqu'à la mise en place du correctif.

Tsumak a déclaré à CoinDesk qu'il avait convenu avec Immunefi, Lido et Rocket Pool de s'abstenir de divulguer la nature exacte du bug pendant que les plateformes concernées travaillent sur un correctif, mais Lido et Rocket Pool prévoient tous deux de débourser la prime Immunefi maximale autorisée de 100 000 $ - indiquant un bug de « gravité critique », selon le cofondateur de StakeWise, Kirill Kutakov.

Tsumak a initialement contacté Rocket Pool à propos de la vulnérabilité, et lorsqu'il est devenu clair que d'autres protocoles pourraient avoir le même bug, il a choisi de contacter la plateforme de primes Immunefi ainsi que Lido.

« Dès que j'ai signalé le problème à Rocket Pool, nous avons discuté de qui d'autre pourrait être affecté, et dans le cas de Lido, ils voyaient le même problème avec une interprétation un BIT différente », a déclaré Tsumak.

Un fil de discussion sur Twitter de Lido mentionnait que ETH « moins de 100 » était vulnérable mardi, mais un Déclaration de transparence de vulnérabilité publié aujourd'hui, il a déclaré que plus de 20 000 ETH d'une valeur de 72 millions de dollars étaient en danger.

Dans les deux cas, le bug permettait aux validateurs ou aux opérateurs de nœuds de drainer les fonds des déposants – une faille dans la façon dont les validateurs sont enregistrés auprès d’ ETH 2.0.

Lido n'a pas répondu à une Request de commentaire au moment de la mise sous presse.

«Rocket Pool est ravi que son programme de bug bounty ait permis la À découvrir d'une faille grave affectant plusieurs fournisseurs de jalonnement. Conformément à une Déclaration de transparence responsable, nous avons collaboré avec notre programme de bug bounty (Immunefi) pour alerter rapidement les autres équipes. Nous remercions chaleureusement Dmitri pour avoir signalé cette faille », a déclaré Darren Langley, directeur de Rocket Pool, dans un communiqué adressé à CoinDesk.

De plus, la communauté Rocket Pool prévoit un drop de jetons non fongibles (NFT) pour la communauté StakeWise pour commémorer l'événement, selon les conversations sur l'application de messagerie Discord.

Kutakov a déclaré que la décision d'informer les concurrents de la plateforme était facile à ONE.

« Nous ne souhaitons T cette vulnérabilité à nos concurrents, et c'est pourquoi nous avons opté pour la voie amiable et les en avons informés avant leur lancement », a-t-il déclaré.

Examen de sécurité

StakeWise a pu identifier le bug car l'entreprise travaillait à la décentralisation de la version 2 de sa propre plateforme, qui inclura une architecture multi-validateurs. StakeWise autorise les dépôts ETH rémunérés, mais utilise un système à nœud unique.

Le projet estime être passé inaperçu pendant un certain temps en raison de cette centralisation. La capitalisation boursière du jeton RPL de Rocket Pool est désormais de 353,5 millions de dollars, et celle du LDO de Lido de 103 millions de dollars. La capitalisation boursière du SWISE de StakeWise est de 4 millions de dollars.

Ce rapport de bogue n’est qu’un autre exemple de l’éthique open source de Tsumak, a déclaré Kutakov.

« Dmitri est connu dans la communauté StakeWise pour avoir publié des choses qui font progresser l'espace », a déclaré Kutakov à propos de son collègue.

Il a souligné l’importance de Horcrux de Tsumak, un outil open source qui permet aux projets de décentraliser une clé de retrait.

Bien que StakeWise ait reconnu que le rapport de bogue est en quelque sorte un coup marketing, son objectif final est d'assurer un lancement sain pour ETH 2.0.

« C’est formidable de générer de la sensibilisation, mais nous voyons cet espace comme un effort de collaboration avec tous ceux qui travaillent pour faire de la preuve d’enjeu d’Ethereum une réalité », a déclaré Kutakov.

StakeWise v2 est actuellement en cours d'audit, avec une date de lancement prévue en novembre.

MISE À JOUR (7 oct., 15h36 UTC) : Corrige le nom de Dmitri Tsumak tout au long du texte ; ajoute un commentaire de Rocket Pool.