На прошлой неделе СМИ сообщили об уязвимости Tezos, которая практически парализовала блокчейн Tezos на 2 часа и причинила сети урон, оцениваемый экспертами примерно в 15 000 токенов XTZ. О чем можно подумать в первую очередь? Конечно, о хакерской атаке, в результате которой сеть потеряла значительные средства.
Недавно нам удалось пообщаться с представителями криптосообщества Norn и получить разъяснения о ситуации с уязвимостью Tezos.
Русскоговорящее сообщество Norn образовано 1,5 года назад как объединение инвесторов в ICO-проекты. По мере увеличения числа участников комьюнити пополнялось аналитиками, трейдерами, майнерами, разработчиками.
Последние начали создавать новые инструменты, писать коды, тестировать блокчейны. Их внимание привлек Tezos, на тот момент молодой и перспективный проект, в ICO которого представители криптосообщества вложили большие суммы.
После запуска Betanet блокчейна Tezos программисты Norn запустили первого в своем роде телеграм-бота Tezos Notifier, затем начали экспериментировать с блокчейном с помощью специально разработанного на C# приложения, которое позволяет отправлять в блокчейн транзакции без скачивания полной ноды.
Через какое-то время разработчики решили протестировать заявленную пропускную способность блокчейна и отправили 2400 транзакций за минуту, в результате чего блокчейн-эксплорер TzScan и его сервисы начали работать с перебоями, но сам блокчейн стресс-тестирование выдержал.
Следующее тестирование TzScan на XSS-уязвимость заключалось в отправке транзакций с JavaScript кодом, который отображал знакомую всем фразу “Храните деньги в Сберегательной Кассе” в виде всплывающего окна на странице TzScan, вот та самая транзакция.
Профессиональные разработчики понимают, что такой код в принципе не должен исполняться на странице сайта, так как на практике это позволяет запустить, например, скрытый майнинг. Поняв, что оба теста могли сказаться на работе блокчейн-эксплорера, группа разработчиков Norn связалась с TzScan и сообщила о найденных уязвимостях.
Следующий тест, проведенный разработчиками Norn, стал решающим уже для блокчейна Tezos: в сеть была отправлена транзакция, содержащая технический символ, что вызвало сбой в работе блокчейна, на полное восстановление работоспособности которого потребовалось почти 2 часа. Вот транзакция, вызвавшая сбой.
Участники комьюнити Norn написали разработчикам Tezos, создали отчеты на HacherOne и объявили о найденных уязвимостях внутри сообщества.
Фактически это была первая уязвимость, обнаруженная в блокчейне Tezos после перехода в Mainnet и принятая разработчиками, что подтверждается информацией на Hacherone.
В конечном счете все ошибки были исправлены, и разработчики Norn теперь претендуют на вознаграждение за выявленные уязвимости. Возможно, что кроме вознаграждения разработчики криптосообщества получат грант от Tezos Foundation, который будет направлен на разработку сервисов для блокчейна Tezos.
Пожалуй, это едва ли не единственный пример, когда интерес криптоэнтузиастов помог исправить серьезные баги и не допустить возможность использования их злоумышленниками, ведь в этом случае ущерб, по оценкам экспертов, в разы превысил бы сумму в 15 000 токенов XTZ.
(2 оценок, среднее: 5,00 из 5)
Загрузка...
Редактор. Маркетолог. Криптоинвестор с 2014 года.
