Em 22 de maio de 2017, um dos conselheiros da Hacken, Oleksii Matiiasevych, ajudou a evitar uma crise massiva em um grande mercado de criptomoedas. Ele pessoalmente economizou US$ 1,5 milhão durante a exploração de vulnerabilidade de carteira Parity.
Recentemente, ele provou seu white hat, identificando uma vulnerabilidade à qual 8 grandes exchanges de criptomoedas estavam suscetíveis.
Algumas semanas atrás, foi relatado que várias criptomoedas bem conhecidas continham um bug batchOverflow em vários contratos inteligentes ERC20.
A vulnerabilidade foi identificada por Matiiasevych enquanto testava diferentes exchanges de criptomoedas. Ele confirmou que poderia ser explorado para retirar quantidades arbitrárias ilícitas de ETH e outras criptos de plataformas vulneráveis. O white hacker assumiu que o problema está no código de processamento de depósitos.
Os testes realizados mostram que pelo menos 8 bolsas centralizadas bem conhecidas têm esse bug. No entanto, Matiiasevich observou que as plataformas descentralizadas que não possuem uma carteira quente /pool não são afetadas.
Juntamente com a Ambisafe, a plataforma Giveth e a comunidade de white hackers, compilou um relatório detalhado chamado “Relatório de violação de segurança geral de processamento de depósitos ETH/ETC” com recomendações sobre como eliminar a vulnerabilidade.
No relatório, observa-se que este ataque será bem-sucedido para ETH e ETC, mas também pode ser relevante para vários forks, especialmente para moedas como UBIQ, EXP, POA, TOMO e ELLA.
“Nós relatamos isso para todas as plataformas de exchanges onde esta vulnerabilidade foi descoberta. Depois disso, enviamos nosso relatório para quase 200 empresas, o que também poderia ser potencialmente vulnerável, assim, parecia que fizemos tudo o que podíamos.”
No entanto, no dia seguinte, Matiiasevich percebeu que os hackers podem ter outra maneira de aproveitar essa vulnerabilidade.
No relatório, os desenvolvedores recomendam parar de aceitar depósitos em ETH e ETC e estudar cuidadosamente o código de processamento convertendo a lista simples de rastreamentos de transações internas em uma lista aninhada. Depois, várias ações foram necessárias para eliminar o problema. Além disso, também foram dadas algumas recomendações sobre como impedir esse método adicional de exploração de vulnerabilidades.
A grande maioria das exchanges fez comentários públicos sobre o bug. Eles anunciaram a suspensão do token ERC20 até que as circunstâncias sejam esclarecidas.
“Hoje, a palavra ‘hacker’ ganhou uma nova e positiva conotação. Os white hackers, como Oleksiy Matiiasevich, relatam bugs com o objetivo de tornar o mundo das criptomoedas mais seguro. Todos nós devemos agradecer aos desenvolvedores por entrarem em contato com as exchanges e mostrarem um ótimo exemplo de que a exchange deve cuidar de seus clientes reagindo imediatamente às vulnerabilidades identificadas. A segurança cibernética é importante. É por isso que a Hacken chega ao consenso para introduzir serviços essenciais de segurança cibernética à comunidade global de criptomoedas”, – Dmytro Budorin, CEO da Hacken.
O número de problemas causados por falhas nas plataformas de criptomoedas aumenta diariamente, representando uma grande ameaça à saúde geral da florescente indústria de blockchain. No final de maio, a Hacken lançará o MVP de seu tão aguardado produto CER (Crypto Exchange Ranks). O CER fornecerá uma análise objetiva e abrangente das exchanges, levando em conta esses achados recentes de vulnerabilidade. A partir de junho, os entusiastas do mercado e os traders profissionais terão a chance de avaliar as empresas antes de arriscar seus ativos.