Wormhole chi 10 triệu USD bug bounty cho hacker mũ trắng

Theo thông báo từ Immunefi (đơn vị đồng tổ chức bug bounty cùng Wormhole), một cá nhân với tên mật danh satya0x là người đã phát hiện ra lỗ hổng và nhận được phần thưởng nói trên.

Sau khi mất 323 triệu USD (dưới dạng ETH) vào tay hacker hồi tháng 02/2022, Wormhole đã bắt tay triển khai chương trình bug bounty nhằm giảm thiểu những rủi ro về mặt bảo mật.

Chương trình tặng thưởng bug bounty của Wormhole có những cấp khác nhau, tuỳ thuộc vào mức độ nghiêm trọng của lỗ hổng được phát hiện.

Cụ thể, với mức độ “rủi ro thấp”, một lỗi contract chỉ có thể đem về phần thưởng 2.500 USD. Trong khi đó, phần thưởng mà satya0x nhận về là 10 triệu USD vì mức độ rủi ro là ở cấp hệ thống.

Phía Immunefi cho biết, tài sản của người dùng vẫn an toàn ở thời điểm bug nói trên được phát hiện. Ngay sau đó, Wormhole đã nhanh chóng triển khai bản cập nhật và vá lỗi trong cùng ngày.

Hacker satya0x cho biết:

“Tôi tự hào với vai trò phát hiện ra lỗ hổng nghiêm trọng lần này và đây là một lỗi lớn ảnh hưởng đến hệ thống của toàn hệ sinh thái.”

Theo đó, lỗ hổng lần này ảnh hưởng đến khả năng nâng cấp smart contract của Wormhole, cho phép hacker có thể kiểm soát toàn bộ smart contract này.

Whitehat satya0x reported a critical vulnerability in @wormholecrypto on Feb 24 via Immunefi.

The bug was quickly patched, no user funds were affected, and satya0x received a $10 million payout from Wormhole, the largest bounty payout on record. https://t.co/xKDGxfFLjA

— Immunefi (@immunefi) May 20, 2022

Trên trang Twitter và medium của mình, Immunefi cũng đã công bố báo cáo chi tiết về những lỗ hổng trong vụ việc nói trên của Wormhole.