Ein White Hat-Hacker hat rund 1.5 Millionen US-Dollar durch das Aufdecken eines Fehlers im Bereich Smart Contracts verdient. Den Fehler bei ArmorFi fand der White Hat-Hacker auf der Blockchain-Bug-Bounty-Plattform Immunefi.
ArmorFi zahlte rund 1,5 Millionen US-Dollar an den Hacker Alexander Schlindwein. Ferner kündigte der ArmorFi CTO an, sich ein Tattoo nach Wahl von Schlindwein stechen zu lassen.
Der kritische Bug hätte die gesamten Gelder des DeFi-Projekts ArmorFi gefährden können. ArmorFi berichtet:
„Es ist wichtig, großzügig mit Bug Bounties umzugehen und Whitehats zu schätzen, die Ihnen helfen, die Sicherheit der Benutzer zu gewährleisten. Sicherheit muss vor jedem anderen Ziel stehen.“
24 Stunden
Nach nur 24 Stunden reichte Schlindwein den Exploit im Code von ArmorFi beim Projekt ein. Dies ist die größte Smart Contract Bug Bounty, die jemals ausgezahlt wurde, und zählt zu den größten Bug Bounties, die es gibt. Es ist ein historischer Moment für die DeFi-Community.
Bereits ein Dollar hätte ausgereicht, um die gesamten Mittel aus dem Projekt entnehmen zu können. Duncan Townsend, CTO von Immunefi, erklärt dazu:
„Das Schreiben sicherer Smart Contracts ist unglaublich schwierig. Jeder Entwickler hätte diesen Fehler machen können. Wir hoffen, dass diese Nachrichten Projekte dazu ermutigen, die Notwendigkeit von Bug Bounties und ihre Bedeutung für den Nachweis von Ernsthaftigkeit und Verantwortung zu erkennen.“
Duncan Townsend, CTO von Immunefi
Und auch der Coin des Projekts profitierte von dieser rekordverdächtigen Bounty-Jagd und verdoppelte seinen Preis laut CoinMarketCap.
„Der Fehler ist mir direkt ins Auge gesprungen.“
BeinCrypto hatte die Gelegenheit mit Alexander Schlindwein zu sprechen. Er erklärt, warum die Jagd nach dem Fehler im Code so schnell ging:
„Vom ersten Öffnen des Quellcodes bis zum PoC und einreichen bei Immunefi waren es ca. zwei Stunden. Die Geschwindigkeit hing auch ein bisschen mit Glück zusammen, da an der Stelle, an der ich angefangen habe, den Code zu analysieren auch direkt der Fehler zu finden war. Die Zeile mit dem Fehler ist mir direkt ins Auge gesprungen da dort eine mathematische Operation mit einer ETH Menge vorgenommen wurde, die so normalerweise nicht in Smart Contracts Anwendung findet. Nach weiterer Prüfung des umliegenden Codes war dann ziemlich schnell klar, dass es sich um einen schwerwiegenden Fehler handelt.“
Des weiteren berichtet er, dass er sich nicht als White Hacker bezeichnet, sondern vielmehr als Hobbyist. Den Bounties und CTF-Turnieren widmet er sich in seiner Freizeit:
„Ich war schon immer daran interessiert solche Systeme bis auf die unterste Ebene zu verstehen. Da ich selbst Smart Contract Entwickler bin schärft das die eigenen Fähigkeiten und kann sogar, wenn man finanziell nicht wie ein professioneller Bounty Hunter auf Erfolg angewiesen ist, eine entspannende Aktivität sein.“
Alexander erläutert, dass dies sein erster Bounty mit erfolgreicher Auszahlung war.
Sicherheit ist ein Problem
Besonders junge DeFi-Projekte sind durch fehlerhafte Codes gegenüber hohen Schäden nicht geschützt. Diesem Problem möchte Immnefi durch Bug Bounties entgegenwirken. Die Gelder sollen White Hacker motivieren nach Schwachstellen im Code zu suchen und somit Sicherheitsrisiken zu beseitigen.
Mitchell Loureiro, CEO von Immunefi, erläutert:
„Es ist ein echtes Privileg, die bisher größte Bug-Bounty-Auszahlung ermöglicht zu haben. Wir werden die Entwickler, die Defi sicher machen, weiterhin belohnen, und dies ist erst der Anfang. Bug Bounties erhöhen das Vertrauen von Benutzern, Entwicklern und der DeFi-Community und bieten Sicherheitsforschern Anreize zum Schutz der Community. Jeder gewinnt.“
Mitchell Loureiro, CEO von Immunefi
Auch wenn der Bounty von 1.5 Millionen US-Dollar teuer erscheint, könnte es noch teurer sein eben keine Bounty-Jäger auf den Code anzusetzen. Robert Forster, CTO von ArmorFi, kommentiert:
„Egal wie gut Ihre Programmierer sind, egal wie gut Ihre Prüfer sind, die Leute machen immer noch Fehler. Unternehmen müssen Bounty-Jäger verstehen und entschädigen. Im besten Fall sind diese dezentralen Audits völlig kostenlos. Im schlimmsten Fall retten Sie Ihr Unternehmen und Ihre Benutzer vor einer Katastrophe zu einem Bruchteil dessen, was es sonst kosten könnte.“
Robert Forster, CTO von ArmorFi
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.