O provedor de serviços validadores InfStones discordou e disse ao Cointelegraph que “nada perto de US$ 1 bilhão em ativos estaria em risco”, mesmo no pior cenário.
A empresa de segurança Blockchain dWallet Labs divulgou recentemente uma vulnerabilidade que afirma poder afetar até US$ 1 bilhão em criptomoedas, com ativos como Ether (ETH), Aptos (APT), BNB (BNB) e Sui (SUI) em risco.
Em artigo enviado ao Cointelegraph, o dWallet Labs relatou uma vulnerabilidade potencial em validadores hospedados por um provedor de infraestrutura chamado InfStones. De acordo com o dWallet Labs, eles iniciaram um artigo de pesquisa sobre ataques a redes blockchain e coleta de chaves privadas com ataques Web2. Durante esta pesquisa, disse o dWallet Labs, eles descobriram vulnerabilidades nos validadores InfStones. Eles escreveram:
“Uma cadeia de vulnerabilidades que descobrimos e exploramos durante nossa pesquisa nos permitiu obter controle total, executar código e extrair chaves privadas de centenas de validadores em múltiplas redes importantes, potencialmente levando a perdas diretas equivalentes a mais de um bilhão de dólares em criptomoedas como ETH , BNB, SUI, APT e muitos outros.”
De acordo com o dWallet Labs, um invasor que explorar a vulnerabilidade pode adquirir as chaves privadas dos validadores em diferentes redes blockchain. “Mais de um bilhão de dólares em ativos apostados foram apostados em todos esses validadores, e tal invasor teria sido capaz de obter controle total de todos eles”, acrescentaram.
Em 21 de novembro, a InfStones respondeu ao pedido de comentários do Cointelegraph, negando que o bug pudesse afetar US$ 1 bilhão em ativos. Darko Radunovic, representante da InfStones, disse ao Cointelegraph que a vulnerabilidade potencial poderia afetar apenas uma pequena fração dos nós ativos que eles já lançaram.
De acordo com Radunovic, a vulnerabilidade potencial foi descoberta em 237 instâncias, incluindo 212 casos designados para teste e 25 instâncias como nós recém-lançados no ambiente de produção. “As instâncias identificadas em produção constituem uma fração abaixo de 0,1% dos nós ativos que lançamos até o momento”, disse Radunovic em comunicado. A empresa também publicou uma postagem no blog dizendo que a vulnerabilidade foi resolvida.
Radunovic também destacou que, em resposta à vulnerabilidade, eles fizeram análises internas e solicitaram que uma empresa de segurança credenciada auditasse seus sistemas e políticas da empresa. A empresa também lançou um programa de recompensas de bugs para encorajar terceiros a trabalhar diretamente com eles em quaisquer bugs que possam encontrar.