آسیبپذیری پالیگان که میتوانست به سرقت میلیاردها دلار سرمایه منجر شود، اصلاح شد
پلتفرم ایمیونیفای به تازگی از اصلاح آسیب پذیری حیاتی در شبکه مبتنی بر الگوریتم اثبات سهام پالیگان خبر داده است. به گفته این پلتفرم، این آسیب پذیری میتوانست امنیت میلیاردها دلار را به خطر بیندازد.
به گزارش میهن بلاکچین و به نقل از کریپتوبریفینگ، پالیگان اخیرا یک باگ اجماع را در شبکه خود برطرف کرده است. به گزارش پلتفرم ایمیونیفای، آسیب پذیری مذکور در تاریخ ۱۵ ژانویه (بهمن ماه) توسط هکر کلاه سفیدی به نام نیو یزکل (Niv Yehezkel) به توسعهدهندگان این شبکه اطلاع داده شده است.
آسیبپذیری که این هکر کلاه سفید آن را پیدا کرده بود به مهاجمان اجازه میداد آستانه اجماع شبکه را دور بزنند و همه وجوه را از طریق قرارداد مدیر سپرده تخلیه کنند و امکان انجام حملات DoS را برای آنها فراهم میکرد. شایان ذکر است تیم پالیگان به پاس اطلاع رسانی این آسیب پذیری، ۷۵،۰۰۰ دلار پاداش به این هکر کلاه سفید پرداخت کرده است.
بر اساس گزارش ایمیونیفای، این آسیب پذیری به گواه اثبات سهام در قرارداد هوشمند پالیگان مربوط بوده است. افراد مهاجم برای سو استفاده از این آسیب پذیری بایستی سه شرط موجود در این قرارداد را برآورده میکردند و در صورت تحقق، این امکان برای آنها فراهم میشد تا تمامی توکنها را از طریق قرارداد مدیر سپرده به سرقت ببرند.
در توضیح قرارداد مدیر سپرده در این گزارش اینگونه نوشته شده است که staking manager contract قرارداد اصلی برای کنترل فعالیتهای ولیدیتورها مانند تایید امضا چک پوینتها، توزیع پاداشها و جریمهها است.
در این گزارش آمده است:
با این روش و دور زدن الگوریتم اجماع، مهاجم میتوانست چک پوینتهای جعلی مخربی مبنی بر برداشت توکنها را ارسال کند و همه وجوه و توکنها را از قرارداد مدیر سپرده خارج نماید.
دانکن تاونسند، مدیر ارشد فناوری شرکت ایمیونیفای در رابطه با میزان اهمیت این آسیب پذیری میگوید:
البته هیچ پولی در خطر نبود چراکه این آسیب پذیری در زمان گزارش قابل اکسپلویت نبود.
علاوه بر این، وی معتقد است پاداش ۷۵،۰۰۰ دلاری اعطا شده به این هکر تا حدی سخاوتمندانه بوده است.
بر اساس دادههای Defi Llama، ارزش قفل شده (TVL) در اکوسیستم دیفای شبکه پالیگان از ۴.۰۵ میلیارد دلار فراتر رفته است و آن را به پرکاربردترین راهکار لایه دوم اتریوم بالاتر از رقبایی چون آربیتروم و آپتیمیزم تبدیل کرده است. علاوه بر این، پالیگان اوایل ماه جاری ۴۵۰ میلیون دلار در دور تامین سرمایه به رهبری شرکت سرمایهگذاری Sequoia جمعآوری کرد.
این اولین بار نیست که پالیگان با آسیب پذیریهای امنیتی مواجه میشود. در ماه اکتبر توسعه دهندگان پالیگان از اصلاح باگی خبر دادند که میتوانست به سرقت ۸۵۰ میلیون دلار از وجوه منجر شود. پالیگان در آن زمان به هکر کلاه سفیدی که در یافتن باگ کمک کرده بود ۲ میلیون دلار پاداش داد. در ماه دسامبر نیز یک هکر با پیدا کردن آسیب پذیری دیگری، ۱.۶ میلیون دلار به صورت توکن متیک به سرقت برد. البته توسعهدهندگان سریع عمل کردند و از وقوع سرقتی ۲۰ میلیارد دلاری جلوگیری کردند.
