Pericolo sventato per Polkadot, il progetto di punta della Fondazione Web3, co-fondato da Gavin Wood, uno dei co-fondatori originali di Ethereum ed ex CTO della Fondazione Ethereum.
Pare che il ricercatore di Immunefi noto come Pwning.eth, abbia recentemente aiutato tre parachain di Polkadot a evitare un potenziale attacco. Anzi, ha scoperto in tempo una vulnerabilità critica sulle reti, per cui i responsabili non hanno esitato a premiarlo.
Summary
Polkadot e il possibile attacco: ecco cosa è successo
Come anticipato, una perdita di 200 milioni di dollari è stata evitata per un soffio ai danni della prestigiosa blockchain Polkadot. Infatti, grazie alla vigilanza del ricercatore di sicurezza Pwning.eth, le reti basate su Polkadot sono state in grado di evitare un possibile attacco.
La notizia viene confermata da The Block in un tweet del 6 gennaio, in cui si legge:
“Il ricercatore di Immunefi risparmia 200 milioni di dollari da un potenziale furto su tre parachain Polkadot.”
Immunefi researcher saves $200 million from potential theft on three Polkadot parachainshttps://t.co/FUr567wVri
— The Block (@TheBlock__) January 6, 2023
Nello specifico, le tre parachain compatibili con Ethereum su Polkadot che stavano per subire il furto sono: Moonbeam, Astar Network e Acala. Il ricercatore ha trovato e segnalato la vulnerabilità critica a giugno in un software chiamato Frontier che viene utilizzato per “impacchettare” i token nativi sui tre progetti blockchain (o parachain) sulla rete Polkadot.
Il rapporto è stato presentato il 27 giugno sulla piattaforma di caccia ai bug incentrata sulle criptovalute Immunefi, ma è stato divulgato solo di recente. Un rappresentante di Immunefi ha dichiarato in merito:
“Pwning.eth ha trovato un bug che ha avuto un impatto sull’intero ecosistema Polkadot e consentirebbe agli hacker di rubare oltre $ 200 milioni attraverso Moonbeam, Astar Network e Acala. Erano tutti vulnerabili a un bug che avrebbe potuto consentire a utenti malintenzionati di coniare token nativi incapsulati”.
In questo caso, il wrapping è il processo di conversione delle risorse crittografiche native delle blockchain in token che possono essere più prontamente supportati dalle app. Viene fatto con l’uso di un contratto intelligente, che detiene i token nativi in deposito a garanzia e rilascia i token incapsulati all’utente.
La vulnerabilità sulle tre catene potrebbe essere stata sfruttata per coniare token wrapping illimitati, tra cui Wrapped Astar (WASTR) su Astar, Wrapped Moonbeam (WGLMR) su Moonbeam e Wrapped Moonriver (WMOVR) su Moonriver, una rete gemella di Moonbeam.
La ricompensa per il ricercatore Pwning.eth: $1 milione
Il valore stimato per Polkadot delle risorse esposte alla vulnerabilità era di circa $200 milioni attraverso i tre parachain, ha affermato Immunefi. Dopo che la vulnerabilità è stata segnalata, i tre team di parachain hanno lavorato per risolverla e rilasciato una patch di emergenza prima che qualsiasi malintenzionato potesse sfruttarla. Nessun fondo è stato perso.
Moonbeam e Astar, che hanno programmi attivi di bug-bounty con Immunefi, hanno assegnato $1 milione all’hacker etico tramite Immunefi. Parity, sviluppatore della Frontier Library, ha deciso di contribuire con $ 250.000 alla ricompensa di $ 1 milione, nonostante non avesse una taglia di bug con Immunefi.
Pwning.eth non è estraneo alla ricerca di bug critici e all’assegnazione di ingenti somme. All’inizio del 2022, l’hacker è stato infatti ricompensato con una taglia di 6 milioni di dollari dopo aver scoperto una vulnerabilità in Aurora, una blockchain compatibile con EVM per il protocollo NEAR, risparmiando all’epoca circa 70.000 ETH per un valore di 200 milioni di dollari.
Se la vulnerabilità sui tre parachain di Polkadot non fosse stata scoperta in tempo, sarebbe sorto un problema non indifferente. In effetti, gli hacker avrebbero potuto usarlo per coniare un numero illimitato di token incartati. Ad ogni modo, una volta che Pwning.eth ha segnalato il bug, i tre team parachain lo hanno risolto e hanno quindi rilasciato una patch di emergenza, prevenendo qualsiasi perdita di fondi.
Polkadot sarà la blockchain alla guida del Web3?
Polkadot, tra le altre cose, è un progetto di Web3 che punta a sviluppare infrastrutture informatiche per un web decentralizzato, al centro del quale, insieme ad altri progetti, ci sarà la blockchain.
Recentemente, Bill Noble, esperto analista tecnico di Wall Street, ha parlato di una “crypto spring” inevitabile. Vale a dire una ripresa del mercato crypto molto vicina, con il Web3 come prossimo Internet, guidato da Polkadot ed Ethereum.
Noble pare sia bullish su Ethereum, in quanto spina dorsale del Web3. Infatti ha sostenuto che i bear market rappresentano i periodi migliori per studiare e imparare, perché è in queste fasi che il mercato decide chi vincerà e chi, invece, perderà. Secondo lui, inoltre, il Web3 sarà il prossimo internet, guidato da Ethereum e Polkadot.