Jump Crypto нашли и устранили уязвимость в Ethermint с потенциальным ущербом в сотни миллионов долларов

• Эксплойт затрагивал, в том числе, Cronos, Kava и Canto
• Уязвимость обнаружили в функционале Ethermint
• Площадка неправильно обрабатывала транзакционные сообщения
• Хакер мог воспользоваться этим с целью кражи комиссий за транзакции
• Вознаграждение Jump Crypto составило всего $25 тысяч

Вчера, 13 апреля, команда Jump Crypto опубликовала результаты своего анализа оболочки Ethermint. Эксперты обнаружили критическую уязвимость в проекте, которая могла обернуться потерей «восьмизначной суммы».

Отметим, Ethermint — это оболочка, которая обеспечивает совместимость сети со средой смарт-контрактов Ethereum. Проект является частью экосистемы Cosmos, на нем работают, например, Cronos, Kava и Canto.

Согласно отчету Jump Crypto, «дыра» позволяла обойти определенные функции смарт-контракта с целью кражи комиссии за транзакцию. К счастью, ее удалось оперативно «залатать». 

Evmos Core и команда Cronos сотрудничали с Jump Crypto во время поиска и устранения уязвимости. Эксперты выпустили фикс для блокировки транзакций с пометкой «MsgEthereumTx».

По данным Evmos, уязвимость возникла из-за неправильной обработки транзакционных сообщений Ethermint. В частности, это касается взаимодействия MsgEthereumTx и MsgExec.

Jump Crypto получили вознаграждение на сумму в $25 тысяч от администрации Cronos. Ни Ethermint, ни Cosmos пока никак не прокомментировали ситуацию.

Интересно, что потенциальный ущерб от этой «дыры» составлял сотни миллионов долларов. Если бы какой-то хакер воспользовался уязвимостью, это грозило указанным блокчейнам огромными финансовыми и репутационными потерями.