Statemind 为 Avalanche 和其他公司节省了 XNUMX 亿美元的加密货币

漏洞 一直以前所未有的方式困扰着区块链行业和 DeFi 协议。 几乎每一天都有另一个恐怖故事，一个众所周知的协议被黑客通过可能提前发现的漏洞耗尽资金。 更糟糕的是新闻可能对受影响的加密货币社区产生影响，这可能会导致价值崩溃并失去宝贵的支持。 

这就是为什么一个关键漏洞和一个匿名的白帽提示者最近吸引了加密社区，并导致顶级区块链开发人员在 Twitter 上进行了广泛的公开调查。 但究竟是谁在为加密货币行业节省了超过 650 亿美元的价值的发现背后？ 

以下是该事件的详细信息，以及它如何演变成对发现背后的区块链安全审计公司的广泛搜索。 我们还将准确揭示英雄是谁。 

为什么 Crypto Twitter 对匿名推销员展开调查

新兴技术通过使用公众作为 Beta 测试人员的严格压力测试。 尽管开发团队通常有最纯粹的意图，但即使是最小的漏洞也可以被利用，因此在清洁和安全的代码方面可以不遗余力。 

然而，如果不偶然发现一个又一个故事，即在片刻之间损失了数百万美元，就不可能阅读加密媒体的头条新闻。 受影响的项目可能难以恢复，社区因此受到影响。 开发人员通常被困在向社区传达关于究竟发生了什么以及原因的坏消息，然后不情愿地接受了强烈反对和后果。 

但最近在 Twitter 上流行的一个例子是抓住了加密社区核心的罕见的幸福结局之一。 一位匿名提示者保存了几个顶级加密协议——例如 Avalanche (AVAX)、Abracadabra (MIM)、SushiSwap (SUSHI) 等——价值高达 XNUMX 亿美元。  

白帽发现为加密货币节省了超过 650 亿美元 

估计损失和潜在受害者包括大约 350 亿美元的 Avalanche； Abracadabra 价值约 300 亿美元的 MIM 代币和额外 3 万美元的用户资金； Nereus Finance 拥有近 60 万美元的 NXUSD 代币； 以及来自 SUSHI 贷款的大约 100 万美元资金。 还有一个与 Boba Network 相关的未知影响。 

鉴于大量资金的安全，受影响协议的开发人员前往 Twitter 寻找将他们的发现发送给 ImmuneFi 的匿名举报人。 它始于 SushiSwap 核心开发人员 Matthew Lilley，他在推特上发布了该主题并获得了调查趋势。 

在发现由 Avalanche 上的 Native Asset Call 预编译引入的攻击向量后，Avalanche 上的 Kashi Markets 被白黑了。 Sushi 团队能够验证该报告，该报告是由一个白黑客提交的 @免疫，通过制作一个简单的 PoC。 1/6

— 我是软件🦇🔊 (@MatthewLilley) 2022 年 9 月 8 日

在接下来的几个小时里，开发人员的多米诺骨牌效应开始出现，并揭示了漏洞并立即修复。

1/🧙🏼‍♂️！

我们已获悉 Avalanche 坩埚可能存在漏洞。

没有任何用户资金丢失，漏洞现已修复，所有抵押品均已得到保护。

📖 在这里阅读更多关于我们的验尸报告👇🏻https://t.co/2HSvPkugEs

- 🧙🏼‍♂️ (@MIM_Spell) 2022 年 9 月 8 日

雪崩、阿布拉卡达布拉和其他人带着谦逊的英雄挺身而出

直到今天，Ava Labs 工程主管 Patrick O'Grady 才在 Twitter 上对 Statemind 表示感谢，Statemind 后来作为区块链安全公司挺身而出，广泛发现了该漏洞。 

👀👀@statemindio 以匿名白帽的身份挺身而出，向相关团队提供了线索： https://t.co/MmG4hkkad7

再次感谢您为提醒社区注意该问题所做的所有工作！ 🫡

— 帕特里克“水龙头”奥格雷迪🔺 (@_patrickogrady) 2022 年 9 月 8 日

官方的 Abracadabra Twitter 帐户也对引起人们对关键漏洞的关注并为另一个恐怖故事拯救加密社区表示深深的感谢。 

🧙🏼‍♂️！

我们要深深感谢审计公司 @statemindio 用于报告我们最新公告中提到的漏洞。 🔮

多亏了他们的报告，我们设法获得了所有资金并与 @avalancheavax 修补漏洞！🔥

- 🧙🏼‍♂️ (@MIM_Spell) 2022 年 9 月 8 日

这些漏洞在创纪录的时间内得到修复。 Avalanche 和 Abracadabra 都有 分享了有关情况的验尸报告. 其他受影响的区块链可能会效仿并为整个社区提供透明度。 

谁是白帽英雄背后的团队？

发现背后的团队到底是谁？ 我们联系了一位博主，他也与该公司合作以了解更多信息。 

我知道匿名黑客披露了这个漏洞 @avalancheavax @ME_Spell & @寿司交换

节省 3 万美元的用户资金和 300 亿美元 $ME 令牌

如果你是一名加密记者，正在寻找发现漏洞的团队的评论/独家细节，请告诉我🙂 https://t.co/3B8axWjYqS

—notEezzy 🧸 (@notEezzy) 2022 年 9 月 8 日

区块链安全审计公司 Statemind 审查了十个顶级区块链协议的代码，以寻找可能具有潜在危险的自定义预编译。 区块链审计公司解释说，过去的经验表明，在适当的环境中，自定义预编译可能会变得越来越危险。 

根据这项研究，Avalanche 和其他人有一个预编译“允许通过中继 msg.sender 的预编译路由任意调用”。 对于某些协议，这意味着任何人都可以代表协议的合约进行调用。 

Statemind.io 是一家领先的区块链安全审计公司，拥有超过 100,000 LoC 的 Solidity 和 Vyper 经验。 这种丰富的经验导致 TVL 获得超过 10B 美元的担保，该公司在 Paradigm CTF 14 中排名第 2022。感谢 Statemind，所有“资金都是 SAFU”，加密货币行业有了新的白帽英雄。