Un investigador de seguridad de Web3 recibió 150.000 dólares de Cosmos Network por identificar un error crítico que podría detener la cadena de bloques Evmos y todas sus aplicaciones descentralizadas.
El 29 de octubre, un investigador de seguridad Web3 de Spearbit con el nombre de usuario jayjonah.eth hizo una publicación X que contenía una entrada de blog que escribió sobre el hallazgo de un error en la cadena de bloques Evmos (EVMOS) que podría haber resultado catastrófico para sus operaciones.
Sus esfuerzos fueron recompensados por Cosmos Network con un pago de 150.000 dólares por identificar la vulnerabilidad. Descubrió el error mientras participaba en el programa Evmos Bug Bounty en la plataforma de recompensas por errores Immunefi, que ha estado activa desde noviembre de 2022.
Una recompensa por errores criptográficos ofrece incentivos a los desarrolladores e investigadores para ayudar a identificar errores y vulnerabilidades dentro de un sistema.
En su publicación de blog, el investigador explicó que se topó con el concepto de “cuentas de módulo” mientras revisaba la documentación de Cosmos, y describió esta revisión como “el primer paso” para identificar problemas potenciales, ya que la documentación proporciona “la base” para comprender una cadena de bloques.
Encontró una sección dentro del documento que decía lo siguiente:
“Normalmente, estas direcciones son cuentas de módulo. Si estas direcciones reciben fondos fuera de las reglas esperadas de la máquina estatal, es probable que se rompan las invariantes y esto podría resultar en una red parada”, escribió Evmos.
Según jayjonah.eth, esta cláusula indicaba que si los usuarios enviaban fondos a las cuentas del módulo, la cadena de bloques podría romperse. Luego probó esto enviando fondos a las cuentas del módulo.
“En este momento ya no se producen más bloques y la cadena se ha detenido por completo. Esto rompe la cadena de bloques Evmos y todas las DApps construidas en ella”, escribió.
Informó sus hallazgos al equipo de Evmos y recibió 150.000 dólares, el premio más alto otorgado por un error de nivel «crítico». El investigador enfatizó que el error era una “fruta madura”: simple pero fácil de pasar por alto.
“Este error me enseñó algunas cosas importantes como investigador de seguridad. La primera, y la más obvia, es leer siempre detenidamente la documentación del proyecto que estás investigando”.
-jayjonah.eth.
También se sabe que otros proyectos lanzan recompensas por errores para ayudar a detectar amenazas ocultas en sus sistemas. En agosto pasado, Layer3, un proyecto de capa de atención descentralizada, lanzó un programa de recompensas por errores en asociación con HackenProof. La recompensa por errores ofrece una recompensa de hasta 500.000 dólares.
En julio, Immunefi colaboró con la Fundación Ethereum para lanzar «Attackathon», un concurso de auditoría diseñado para desafiar y mejorar la seguridad de la red Ethereum.
