A ponte criptográfica lançou um programa de recompensas por bugs em fevereiro, após uma exploração de US$ 323 milhões.
A ponte de criptografia Wormhole pagou US$ 10 milhões a um hacker de chapéu branco que divulgou um bug em seu contrato de ponte principal no Ethereum em fevereiro.
Essa pessoa atende pelo pseudônimo satya0x, por um anúncio da Immunefi, que fez parceria com a Wormhole na hospedagem de sua plataforma de recompensas de bugs.
A Wormhole anunciou o programa em fevereiro, pouco depois de perder cerca de US$ 323 milhões em ETH para um hacker, em uma das maiores explorações de um protocolo DeFi até hoje. Logo depois, reabasteceu sua ponte blockchain, oferecendo também ao atacante US$ 10 milhões se os fundos fossem devolvidos.
O programa da Wormhole oferece recompensas em níveis de acordo com a gravidade da ameaça. Por exemplo, um bug de contrato inteligente de nível “baixo” pode render até US$ 2.500, enquanto um “crítico” pode levar a um prêmio de até US$ 10 milhões – o valor exato que o satya0x recebeu.
“O Wormhole está enviando uma mensagem clara com este pagamento aos melhores e mais talentosos whitehats do planeta de que, se eles divulgarem com responsabilidade vulnerabilidades de segurança ao Wormhole, serão bem cuidados”, disse Immunefi.
A Immunefi disse que nenhum fundo do usuário foi perdido antes que o bug fosse relatado, pois o Wormhole foi capaz de responder rapidamente, verificando e corrigindo o problema no mesmo dia (24 de fevereiro).
Em um comunicado compartilhado pela plataforma de criptomoedas, satya0x disse que os desafios da segurança do blockchain são uma “ameaça existencial” ao seu futuro.
“Estou orgulhoso de ter desempenhado um papel na mitigação de uma vulnerabilidade séria e uma ameaça sistêmica ao ecossistema”, disse satya0x.
O bug estava relacionado à capacidade do Wormhole de atualizar contratos inteligentes. Essencialmente, poderia permitir que um hacker assuma o controle desses contratos. Em uma postagem no blog, a Immunefi forneceu uma análise detalhada do problema que levou à vulnerabilidade de segurança e como ela foi corrigida.
Satya0x também disse: “Se não reconhecermos e reduzirmos agressivamente o risco sistêmico; se não fornecermos a transparência e as ferramentas necessárias para que os usuários tomem decisões informadas; se continuarmos a condenar erros simples enquanto elogiamos o Total Value Lost como a única medida de sucesso – corremos o risco de permitir o ressurgimento das mesmas estruturas de poder que procuramos destruir.”
