" Во вторник раскрытие уязвимости от сервиса ставок ETH 2.0 StakeWise, возможно, сэкономило ETH на миллионы долларов, которые подвергались риску в конкурирующих протоколах ставок Lido и Rocket Pool.
Раскрытие информации произошло по мере того, как сообщество Ethereum готовится к переходу от консенсуса с доказательством работы к доказательству ставки - крупнейшей и наиболее технически сложной конверсии такого рода в истории блокчейна с более чем 20 миллиардами долларов в ставках ETH на линии. Сотрудники StakeWise отметили раскрытие ошибки в Твиттере, отметив, что белой шляпой, которая сообщила об уязвимости, был Дмитрий Цума, один из соучредителей протокола.
Время случайное, потому что Rocket Pool должен был запустить свою основную сеть в течение 24 часов. Проект отложил запуск до тех пор, пока это не будет исправлено. Цума сказал, что он согласился с Immunefi, Lido и Rocket Pool воздержаться от раскрытия точного характера ошибки, пока затронутые платформы работают над патчем, но как Lido, и Rocket Pool планируют выплатить максимально допустимую награду Immunefi в размере 100 000 долларов США, что указывает на ошибку «критической серьезности», по словам соучредителя StakeWise Кирилла Кутакова.
Цума первоначально связался с Rocket Pool по поводу уязвимости, и когда стало ясно, что другие протоколы могут иметь ту же ошибку, он решил связаться с баунти-платформой Immunefi, а также с Lido.
"Как только я сообщил Rocket Pool, мы поболтали о том, кто еще может быть затронут, и в случае Lido они видели ту же проблему в немного другой интерпретации", - сказал Цума.
В твиттере от Lido упоминалось, что «менее 100» ETH было уязвимо во вторник, но опубликованное сегодня раскрытие уязвимости показало, что риску находится более 20 000 ETH на сумму 72 миллиона долларов. В обоих случаях ошибка позволяла валидаторам или операторам узлов истощать средства вкладчиков - недостаток в том, как валидаторы регистрируются в ETH 2.0. Согласно разговорам в приложении для обмена сообщениями Discord, ни Lido, ни Rocket Pool не ответили на запрос о комментариях во время прессы, но сообщество Rocket Pool планирует отказаться от токена NFT для сообщества StakeWise в ознаменование события. Кутаков сказал, что решение уведомить конкурентов платформы было легким.
"Мы бы не пожелали этой уязвимости нашим конкурентам, и именно поэтому мы пошли по дружественному маршруту и сообщили им об этом до их запуска", - сказал он.
Обзор безопасности
StakeWise удалось определить ошибку, потому что он работал над децентрализацией v2 своей собственной платформы, которая будет включать в себя архитектуру с несколькими валидаторами. StakeWise допускает процентные ETH-депозиты, но использует одноузловую систему. Проект считает, что он «летал под радаром» в течение некоторого времени из-за этой централизации. Токен RPL Rocket Pool теперь находится на рыночной капитализации в размере 353,5 миллионов долларов, а LDO Lido - 103 миллиона долларов. SWISE от StakeWise, тем временем, имеет рыночную капитализацию в 4 миллиона долларов. По словам Кутакова, это сообщение об ошибке является еще одним примером этоса Цумы с открытым исходным кодом.
"Дмитрий был известен в сообществе StakeWise тем, что выпускает вещи, которые продвигают пространство", - сказал Кутаков о своем коллеге.
Он указал на Horcrux Цумы, инструмент с открытым исходным кодом, который позволяет проектам децентрализовать ключ вывода средств. Хотя StakeWise признал, что сообщение об ошибке является чем-то вроде маркетингового переворота, его конечная цель заключается в обеспечении здорового запуска ETH 2.0.
"Здорово генерировать осведомленность, но мы рассматриваем это пространство как совместную работу со всеми, кто работает над тем, чтобы сделать доказательство ставки Ethereum реальностью", - сказал Кутаков.
StakeWise v2 в настоящее время находится на стадии аудита, а целевая дата запуска - ноябрь.
