Theo thông báo từ Immunefi (đơn vị đồng tổ chức bug bounty cùng Wormhole), một cá nhân với tên mật danh satya0x là người đã phát hiện ra lỗ hổng và nhận được phần thưởng nói trên. Sau khi bị các hacker “nhảy” mất 323 triệu USD Ethereum hồi tháng 02/2022, Wormhole đã bắt tay triển khai chương trình bug bounty nhằm giảm thiểu những rủi ro về mặt bảo mật.
Chương trình tặng thưởng bug bounty của Wormhole có những cấp khác nhau, tuỳ thuộc vào mức độ nghiêm trọng của lỗ hổng được phát hiện. Cụ thể, với mức độ rủi ro thấp, một lỗi contract chỉ có thể đem về phần thưởng 2.500 USD. Trong khi đó, phần thưởng mà satya0x nhận về là 10 triệu USD vì mức độ rủi ro là ở cấp hệ thống.
Phía Immunefi cho biết, tài sản của người dùng vẫn an toàn ở thời điểm bug nói trên được phát hiện. Ngay sau đó, Wormhole đã nhanh chóng triển khai bản cập nhật và vá lỗi trong ngày. satya0x cho biết: “Tôi tự hào với vai trò phát hiện ra lỗ hổng nghiêm trọng lần này và đây là một lỗi lớn ảnh hưởng đến hệ thống của toàn hệ sinh thái”.
Theo đó, lỗ hổng lần này ảnh hưởng đến khả năng nâng cấp smart contract của Wormhole, cho phép hacker có thể kiểm soát toàn bộ smart contract này.
Tham khảo chi tiết về lỗ hổng này: https://medium.com/immunefi/wormhole-uninitialized-proxy-bugfix-review-90250c41a43a
Theo dõi CABO Capital qua các tài khoản chính thức bên dưới:
