Web3 研究者は Evmos ブロックチェーンの重大なバグを発見し 15 万ドルを授与されました

経験豊富な Web3 セキュリティ研究者として、このような話を読むと、私は誇りと満足感を感じずにはいられません。ブロックチェーンと分散型アプリケーションの世界はまだ比較的新しく、毎日私たちに真の影響を与える新たな課題と機会を与えてくれます。

Web3 を専門とするサイバーセキュリティの専門家は、Evmos ブロックチェーンシステム内の重大な欠陥を発見した功績で、コスモスネットワークから 15 万ドルの賞金を授与されました。この脆弱性は、メインチェーンだけでなく、それに関連するすべての分散アプリケーションを混乱させる可能性がありました。

10 月 29 日、Spearbit のハンドル jayjonah.eth を使用しているセキュリティ研究者が、Evmos (EVMOS) ブロックチェーンネットワークの機能に重大な影響を与える可能性がある潜在的な問題の発見を詳述する自身が執筆したブログエントリを特集したクロスプラットフォーム投稿を公開しました。。

彼の勤勉さがコスモスネットワークに認められ、脆弱性を発見したことで 150,000 ドルの報奨金を受け取りました。彼は、昨年 11 月から実施されているイニシアチブである Immunefi プラットフォーム上の Evmos バグ報奨金プログラムに参加しているときにこの欠陥を発見しました。

「暗号バグ報奨金」プログラムは、デジタルシステムや暗号通貨プラットフォーム内に隠された弱点や潜在的な脅威を発見したプログラマーや調査員に報酬を与えます。

ドキュメントを詳しく調べただけで、EvmosOrg で 150,000 ドル相当の重大な脆弱性が発見されました。私の最新の分析を見て、ファンダメンタルズに焦点を当てることで重大な欠陥がどのように明らかになったのかを確認してください。以下のリンクです: SpearbitDAO
— jayjonah.eth (@jayjonah_eth) 2024 年 10 月 28 日

Cosmos のドキュメントを読んでいるときに、「モジュールアカウント」という概念に出会いました。ドキュメントはブロックチェーンシステムの複雑さを把握するための基礎として機能するため、この発見は、潜在的な問題を明らかにするという私の探求の最初の段階となりました。

彼は文書内に次のようなセクションを見つけました。

一般に、このようなアドレスはモジュールアカウントとして機能します。システム (ステートマシン) の確立されたガイドラインに違反する方法で資金を受け取ると、基本的なルール (不変条件) が違反される可能性があり、ネットワーク全体が誤動作したり、機能が停止したりする可能性があります。 (エブモス)

jayjonah.ethの声明によると、この状況は、モジュールアカウントへの資金の送金がブロックチェーンの破壊につながる可能性があることを示唆しています。この主張を検証するために、彼は指定されたモジュールアカウントに資金を移動する実験を実行しました。

同氏は、現在新しいブロックは作成されておらず、チェーンは完全に停止しており、Evmosブロックチェーンとその上に構築されたすべての分散型アプリケーション（DApp）を事実上混乱させていると述べた。

彼は調査結果を Evmos チームに報告し、「重大」レベルのバグに与えられる最高賞金である 15 万ドルを受け取りました。研究者は、このバグは「容易に解決できる成果」であり、単純だが見落とされやすいと強調した。

このバグを調査することで、セキュリティ研究者としていくつかの重要な教訓が得られました。まず、調査を開始する前にプロジェクトのドキュメントを注意深く確認することの重要性を強調しています。
-jayjonah.eth.

さらに、さまざまな取り組みが、システム内の隠された危険を明らかにする手段としてバグ報奨金を組織することに頼ってきました。たとえば、昨年 8 月には、HackenProof と協力して、分散型アテンションレイヤーを中心としたプロジェクトである Layer3 によってバグ報奨金プログラムが開始されました。このバグ報奨金プログラムでは、最大 50 万ドル相当の報奨金が得られる可能性があります。

7月、Immunefiはイーサリアム財団と提携し、監査を通じてイーサリアムネットワークのセキュリティのテストと改善を目的としたコンテスト「アタッカソン」を開始した。

2024-10-29 17:16