Разработчики сервиса по стейкингу Ethereum 2.0 StakeWise обнаружили критический баг в конкурирующих продуктах Lido и Rocket Pool. Об этом они сообщили в Twitter.
Rocket Pool должен был запуститься в основной сети меньше чем через 24 часа, поэтому раскрытие уязвимости в его случае оказалось очень своевременным. Теперь дальнейшие планы по релизу проекта отложены до устранения неисправности.
Как пояснил сооснователь StakeWise Дмитрий Цумак – именно он обнаружил проблему – было решено не раскрывать полные детали уязвимости публично, пока платформы работают над ее устранением. Тем не менее, Lido и Rocket Pool согласились заплатить максимально допустимую награду в сервисе Immunefi за нахождение бага в $100 000, что говорит о его «критической серьезности».
Изначально Цумак связался только с Rocket Pool. Впоследствии, поняв, что проблема может присутствовать на других платформах, он решил обратиться к платформе по поиску багов Immunefi.
«Когда я связался с Rocket Pool, мы начали обсуждать, у кого еще может быть та же проблема. Она обнаружилась у Lido, хотя и в немного другом исполнении», — добавил разработчик.
В Lido сперва оценили потенциальную сумму ущерба менее чем в 100 ETH, однако в сегодняшнем отчете платформа сообщила, что в зоне риска оказалось свыше 20 000 ETH стоимостью $72 млн.
В обоих случаях баг позволяет валидаторам выводить активы клиентов. StakeWise обнаружили его, когда работали над децентрализацией собственной платформы. Сейчас она осуществляет стейкинг с помощью единого валидатора, но после обновления будет использовать архитектуру на основе множества нод. Разработчики считают, что уязвимость некоторое время оставалась незамеченной из-за преобладания централизованных систем.