TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети

casio

Разработчики блокчейн-проекта TRON раскрыли информацию об уязвимости «высокого уровня», угрожавшей стабильности их сети. Соответствующее уведомление было опубликовано на сайте HackerOne.

Согласно публикации, до недавнего времени злоумышленники могли расходовать вычислительные ресурсы сети путём осуществления DDoS-атак. «Используя один компьютер, злоумышленник мог направить DDoS-атаку на все или 51% нод супер-представителей, что привело бы к невозможности использования сети Tron», - пишет TRON Foundation в отчёте.

Чтобы воспользоваться уязвимостью, злоумышленнику требовалось последовательно вызывать срабатывание функций смарт-контрактов при помощи вредоносного байт-кода, понимаемого виртуальной машиной TRON.

Изначально исследователь проблем кибербезопасности danish1970 сообщил TRON Foundation о проблеме 14 января, за что 1 февраля получил награду в $1 500. Одновременно с раскрытием информации об этой проблеме TRON Foundation 4 дня назад без описания подробностей сообщила, что выплатила за помощь в обнаружении другой уязвимости $3 100.

Всего за 10 месяцев существования программы отлова багов TRON Foundation заплатила экспертам HackerOne $78 800 за 15 отдельных сообщений о найденных уязвимостях. 12 из них имеют отметку «устранённая». Самая крупная награда, выплаченная организацией к сегодняшнему дню, составила $10 000.

В 2018 году независимые эксперты по кибербезопасности заработали $878 000, раскрывая информацию об уязвимостях крипто-стартапам. Более половины этой суммы было уплачено компанией Block.one, занимающейся разработкой блокчейн-проекта EOS.

CryptoMax

Белые и чёрные хакеры.. Это как вечная битва сил света с силами тьмы. Война Добра со Злом). Видимо, из этой конкретной уязвимости трудно было извлечь материальную выгоду для хакера. Просто положить сеть - это баловство для школьников.

Ivan Ivanov

мне кажется, что оплата в $1 500 за уязвимость высокого уровня, не очень соответствует масштабам проделанной работы. могли бы и побольше заплатить.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

мне кажется, что оплата в $1 500 за уязвимость высокого уровня, не очень соответствует масштабам проделанной работы. могли бы и побольше заплатить.

ну там наверное не так опасная ситуация была.

Ivan Ivanov

@casio что тогда по-вашему значит "высокого уровня"? тогда бы написали, что просто стандартная уязвимость.

CryptoMax

Общие выплаты компаний за предоставление информации о найденных уязвимостях весьма внушительные. Так что вряд ли работу белых хакеров можно назвать неблагодарной.

Ivan Ivanov

@cryptomax компания гораздо больше тратит на собственных технарей, которые ничего этого найти не могут. так что могли бы быть и щедрее.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@cryptomax компания гораздо больше тратит на собственных технарей, которые ничего этого найти не могут. так что могли бы быть и щедрее.

свои просто не найдут такое ... ибо у них подход уже свой к этому вопросу.

Ivan Ivanov

@casio тогда зачем их держать? может все отдать на откуп баг хантерам?

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio тогда зачем их держать? может все отдать на откуп баг хантерам?

ну кто то информацию от них должен же обрабатывать....

Ivan Ivanov

@casio можно держать пару человек, это выйдет гораздо дешевле, чем целый отдел.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio можно держать пару человек, это выйдет гораздо дешевле, чем целый отдел.

Ну там думаю не очень много людей работает ....

Ivan Ivanov

@casio сомневаюсь, что там мало людей. обычно команды могут включать несколько десятков разработчиков.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio сомневаюсь, что там мало людей. обычно команды могут включать несколько десятков разработчиков.

ну обычно несколько таких людей ... остальные так на подхвате....

Ivan Ivanov

@casio но все равно это же команда и зарплату они получают немаленькую.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio но все равно это же команда и зарплату они получают немаленькую.

ну так зарплату там сами девы проектов утверждают ....

Ivan Ivanov

@casio зарплату утверждают основатели проекта, а техническая команда редко в основателях ходит.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio зарплату утверждают основатели проекта, а техническая команда редко в основателях ходит.

ну так они же девы проекта и есть же ...

Ivan Ivanov

@casio не всегда, иногда просто рулят проектом, а работают совсем другие люди.

casio

Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:

@casio не всегда, иногда просто рулят проектом, а работают совсем другие люди.

ну в таком случае нечего и не получиться по факту.