L'ecosistema della finanza decentralizzata cross-chain affronta un nuovo scrutinio dopo le rivelazioni che THORChain avrebbe presumibilmente respinto ricerche critiche sulla sicurezza poche settimane prima di subire un exploit da 10,7 milioni di dollari che prende di mira vulnerabilità quasi identiche. L'incidente evidenzia le crescenti tensioni tra i ricercatori di sicurezza e i team dei protocolli riguardo alle pratiche di divulgazione responsabile in un settore dove i bug possono svuotare i fondi da un giorno all'altro.

La startup di sicurezza V12 sostiene di aver identificato e divulgato in modo responsabile una vulnerabilità che drena i fondi al team di sviluppo di THORChain settimane prima che gli hacker sfruttassero un difetto simile per 10,7 milioni di dollari. Secondo i ricercatori, THORChain avrebbe silenziosamente corretto la vulnerabilità segnalata senza riconoscere il loro lavoro o fornire compensi attraverso il programma di bug bounty del progetto. Quando V12 ha seguito la loro comunicazione, THORChain avrebbe apparentemente informato che il programma di bounty era stato "permanentemente ritirato".

La sequenza degli eventi rivela dinamiche preoccupanti nella sicurezza dei protocolli cross-chain. THORChain opera come un protocollo di liquidità decentralizzato che consente agli utenti di scambiare asset su diverse blockchain senza token avvolti o exchange centralizzati. Questa complessità crea numerosi vettori di attacco, rendendo l'audit di sicurezza comprensivo essenziale. Il protocollo ha precedentemente subito molteplici exploit, inclusa una serie di attacchi nel 2021 che hanno collettivamente drenato oltre 13 milioni di dollari dal suo tesoro.

Le accuse di V12 suggeriscono che THORChain potrebbe aver beneficiato del lavoro dei ricercatori evitando gli obblighi finanziari tipicamente associati alla divulgazione responsabile. I programmi di bug bounty servono come infrastruttura critica nella sicurezza blockchain, incentivando i ricercatori white-hat a segnalare privatamente le vulnerabilità piuttosto che venderle ad attori malevoli o pubblicarle pubblicamente. Quando i protocolli non rispettano questi accordi, rischiano di alienare la comunità dei ricercatori di sicurezza e incoraggiare pratiche di divulgazione più aggressive.

La complessità cross-chain amplifica le sfide di sicurezza

L'incidente di THORChain sottolinea le sfide di sicurezza più ampie affrontate dall'infrastruttura cross-chain. A differenza delle applicazioni su una singola blockchain, i protocolli cross-chain devono gestire la sincronizzazione dello stato complessa su più reti, ognuna con meccanismi di consenso e assunzioni di sicurezza distinti. Questa complessità architettonica aumenta esponenzialmente le potenziali superfici di attacco, rendendo la revisione di sicurezza approfondita sia più critica che più intensiva in termini di risorse.

La risposta di V12 al presumibile respingimento di THORChain segnala tensioni crescenti nel settore. La società di sicurezza ora ha intenzione di pubblicare il codice di exploit per vulnerabilità aggiuntive che ha identificato, una pratica nota come "divulgazione completa" che può spingere i protocolli ad affrontare i problemi di sicurezza più urgentemente. Mentre questo approccio può accelerare le correzioni, fornisce anche agli attori malevoli vettori di attacco già pronti, creando dilemmi etici per i ricercatori frustrati da team di protocolli non responsivi.

I tempi tra la divulgazione di V12 e il successivo exploit da 10,7 milioni di dollari suscitano interrogativi sui processi di gestione delle vulnerabilità di THORChain. Se i ricercatori hanno accuratamente identificato difetti critici settimane prima dell'attacco, la risposta di sicurezza del protocollo potrebbe essere stata insufficiente per affrontare la classe più ampia di vulnerabilità che affettano il sistema. Questo schema suggerisce pratiche di sicurezza reattive piuttosto che proattive, un approccio pericoloso per protocolli che gestiscono centinaia di milioni in fondi degli utenti.

Gli osservatori dell'industria notano che la discontinuazione del programma di bug bounty spesso segnala sfide organizzative più profonde. Mantenere relazioni di ricerca sulla sicurezza efficaci richiede un impegno finanziario sostenuto e competenza tecnica per valutare le comunicazioni. Quando i protocolli si ritirano da questi programmi, possono involontariamente segnalare ai ricercatori che i loro problemi di sicurezza sono secondari rispetto ad altre priorità operative.

Le implicazioni più ampie vanno oltre THORChain a tutto l'ecosistema cross-chain. Man mano che proliferano i protocolli bridge e le applicazioni cross-chain, l'istituzione di quadri di ricerca sulla sicurezza sostenibili diventa sempre più critica. La capacità dell'industria di attrarre e trattenere ricercatori di sicurezza qualificati potrebbe determinare se l'infrastruttura cross-chain può ottenere l'affidabilità necessaria per l'adozione mainstream. Il modo in cui THORChain gestisce questo caso di divulgazione potrebbe influenzare come i ricercatori futuri affrontano la segnalazione delle vulnerabilità in tutto il settore, potenzialmente influenzando il profilo di sicurezza di numerosi protocolli.

Scritto dal team editoriale — giornalismo indipendente alimentato da Bitcoin News.