- Un investigador de seguridad de Immunefi encontró una vulnerabilidad crítica en tres parachains de Polkadot.
- El investigador, conocido como pwning.eth, recibió una recompensa de un millón de dólares.
Un investigador de seguridad descubrió una vulnerabilidad de software que podría haber sido explotada para robar hasta 200 millones de dólares de tres parachains compatibles con Ethereum en Polkadot: Moonbeam, Astar Network y Acala.
El investigador, conocido como pwning.eth, encontró e informó de la vulnerabilidad crítica en junio, cuando se presentó el programa, en un software llamado Frontier que se utiliza para «envolver» tokens nativos en los tres proyectos blockchain (o parachains) en la red Polkadot. El informe fue presentado en la plataforma de caza de errores centrada en criptomonedas Immunefi el 27 de junio, pero sólo se divulgó recientemente.
Pwning.eth encontró un error que afectaba a todo el ecosistema Polkadot y permitiría a los hackers robar más de 200 millones de dólares a través de Moonbeam, Astar Network y Acala», dijo un representante de Immunefi a The Block. «Todos eran vulnerables a un error que podría haber permitido a usuarios maliciosos acuñar tokens nativos envueltos.
En este caso, el wrapping es el proceso de convertir los criptoactivos nativos de las blockchains en tokens que puedan ser soportados más fácilmente por las apps. Se realiza con el uso de un contrato inteligente, que mantiene los tokens nativos en custodia y emite los tokens envueltos al usuario.
La vulnerabilidad en las tres cadenas podría haber sido aprovechada para acuñar un número ilimitado de tokens envueltos, incluyendo Wrapped Astar (WASTR) en Astar, Wrapped Moonbeam (WGLMR) en Moonbeam, y Wrapped Moonriver (WMOVR) en Moonriver, una red hermana de Moonbeam.
El valor estimado de los activos expuestos a la vulnerabilidad era de unos 200 millones de dólares en las tres parachains, según Immunefi. Tras conocerse la vulnerabilidad, los equipos de las tres parachains trabajaron para solucionarla y publicaron un parche de emergencia antes de que ningún malintencionado pudiera aprovecharse de ella. No se perdieron fondos.
Moonbeam y Astar, que tienen programas activos de recompensas por fallos con Immunefi, concedieron un millón de dólares al hacker ético a través de Immunefi. Parity, desarrollador de Frontier Library, decidió contribuir con 250.000 dólares a la recompensa de un millón de dólares, a pesar de no tener un programa de recompensas por fallos con Immunefi.
Pwning.eth no es ajeno a encontrar bugs críticos y ser recompensado con grandes sumas. A principios de 2022, el hacker de sombrero blanco fue recompensado con una recompensa de 6 millones de dólares tras descubrir una vulnerabilidad en Aurora, una blockchain compatible con EVM para el protocolo NEAR, salvando unos 70.000 ETH valorados en 210 millones de dólares en aquel momento.