DxSale Network запропонувала винагороду в $500 за розкриття вразливості, яка могла коштувати їй $5 млн

Decurity заявила, що фірма зіткнулася з несподіваними перепонами з боку DxSale після того, як повідомила про помилку в системі безпеки.

Служба безпеки на чолі з етичними хакерами, які спеціалізуються на аудиті безпеки, заявила, що повідомила платформу DxSale Network (децентралізована платформа для запуску токенів), про злом, який може коштувати їй понад $5 мільйонів. У відповідь DxSale Network запропонувала винагороду в розмірі $500.

Винагорода є однією з найнижчих, яку коли-небудь пропонували “білим хакерам”.

Винагорода в $500 за порятунок $5 мільйонів

У нещодавньому дописі в блозі Decurity повідомила, що один з її дослідників 28 червня 2023 року виявив помилку в неперевіреному смарт-контракті смарт-ланцюга Binance (BSC), що належить DxSale, і отримав винагороду в розмірі $500 за свої зусилля.

За словами фірми, розслідування виявило логіку контракту, яка не була достатньо захищеною, щоб запобігти виведенню хакерами коштів, заблокованих у контракті під час первинного децентралізованого розміщення (IDO).

Згідно з розрахунками, загалом 21 600 токенів WBNB (wrapped BNB) в пулах на суму близько $5,2 млн на момент публікації звіту могли бути викрадені, якби хакери помітили вразливість. Тим часом, фірма, що займається безпекою, заявила:

“Зверніть увагу, що ця цифра відображає збитки, які може завдати вразливість, націлена на один екземпляр контракту на блокування. Однак Dx має більше контрактів на блокування в BSC та інших мережах”.

Незадовільна відповідь від DxSale

Decurity стверджує, що зв’язалася з DxSale після того, як підтвердила наявність помилки, але заявила, що спочатку зіткнулася з протидією з боку команди проекту, яка спочатку не реагувала, а пізніше заявила, що знає про проблему. Згідно з повідомленням у блозі, команда заявила, що контракт, про який йде мова, був неактивним, а це означає, що він не становив загрози.

Незважаючи на початкову відповідь від DxSale, Decurity заявила, що змогла зв’язатися із засновниками та розробниками DxSale, щоб обговорити ситуацію.

Щоб виправити баг, розробники проекту вирішили 29 червня встановити високу плату за блокування, щоб відбити у зловмисників бажання здійснювати подібні дії. На думку Decurity, це рішення могло б стримати хакерів, але власники DxSale могли б втратити кошти в разі потенційного виведення коштів.

Хоча команда Dx намагалася спростувати заяви про те, що хакери можуть вивести кошти, посилаючись на захист з боку декількох аудиторських партнерів, включаючи CertiK Skynet, проект, як повідомляється, перейшов до встановлення високих комісій в інших мережах.

Decurity, тим часом, висловила певну стурбованість щодо реакції DxSale на потенційні загрози безпеці, порадивши користувачам бути обережними при взаємодії з проектами на цьому протоколі.

Поки DxSale не відреагував на претензії Decurity, децентралізований стартап 18 липня оголосив про партнерство з компанією Vital Block Security, яка займається питаннями безпеки.