Belt Finance, um protocolo de formador de mercado automatizado (AMM) que opera uma estratégia de otimização de rendimento no Binance Smart Chain (BSC), afirma ter pago a maior recompensa da história das finanças descentralizadas (DeFi) a um hacker White hat.
O hacker White hat da indústria, Alexander Schlindwein, descobriu a vulnerabilidade no protocolo da Belt Finance esta semana e relatou a notícia à equipe. Por seus esforços, Schlindwein recebeu uma generosa compensação de US$1,05 milhão, a maior parte (US$1 milhão) concedida pela Immunefi, com os US$50.000 adicionais oferecidos pelo programa Priority One, da Binance Smart Chain.
A Immunefi é uma das líderes de mercado em segurança de software para projetos de criptomoedas. Desde o seu início, a plataforma supostamente pagou mais de US$3 milhões a hackers White hat que identificaram com sucesso falhas de infraestrutura técnica em contratos inteligentes e plataformas criptográficas.
Priority One é uma iniciativa BSC lançada para aprimorar a segurança de aplicativos descentralizados (DApp) dentro do ecossistema nativo da plataforma. Espelhando a estrutura da Immunefi, o serviço fornece um fundo de incentivo de US$10 milhões para os caçadores de recompensas de blockchain que contribuem com sucesso para evitar quebras de segurança em 100 DApps.
Schlindwein disse sobre como ele descobriu a vulnerabilidade:
“Eu examinei a lista de recompensas na Immunefi e escolhi o Belt Finance como o próximo a trabalhar. Enquanto eu estudava seus contratos inteligentes, percebi um bug potencial na contabilidade interna, que rastreia os fundos depositados de cada usuário. Jogar o ataque com caneta e papel me deu mais confiança na existência do bug. Continuei produzindo uma prova de conceito adequada (PoC) que, sem dúvida, confirmou sua validade e prejuízo econômico. A próxima etapa foi criar um relatório oficial sobre a Immunefi, incluindo o PoC e uma ampla descrição da exploração. A Immunefi reagiu imediatamente ao relatório crítico e, três minutos após o envio, foi encaminhado para a equipe. Pouco depois, Belt confirmou a validade do relatório e começou a implementar uma correção, que corrigiu a vulnerabilidade.”
Embora as violações de segurança do DeFi continuem a ser uma preocupação predominante, alguns argumentaram que o ecossistema nascente se beneficiará de tais incidentes a longo prazo, já que as áreas de fraqueza são claramente destacadas.
Foi perguntado a Schlindwein sua perspectiva sobre a importância dos programas de recompensa no apoio às ambições antifrágil de DeFi, então, ele disse:
“Estou fortemente convencido da importância de recompensas e iniciativas como fundos de recompensa. A segurança DeFi consiste em várias camadas, começando com revisão por pares e testes de unidade até auditorias externas e verificação formal. Recompensas de bugs são a última linha de defesa caso um problema deslize pelas camadas sobrepostas com o potencial de evitar um hack devastador enquanto, em vez disso, conserta seriamente o problema e compensa quem o encontrou. Recompensas em DeFi eram uma visão rara antes de Immunefi existir. É ótimo ver centenas de projetos lançando sua recompensa por bugs hoje em dia, o que certamente trará a segurança do DeFi adiante no longo prazo.”