Nečekaná chyba nalezená v auditovaném smart kontraktu přiměla firmu Virtuals Protocol, zaměřenou na blockchain a umělé inteligence, k vydání rychlé opravy a znovu spuštění programu odměn za nalezené chyby.
3. prosince 2024 kontaktoval pseudonymní bezpečnostní výzkumník Jin firmu Virtuals Protocol poté, co objevil chybu v jednom z jejich auditovaných kontraktů. Když však Jin hlásil tento problém, zjistil, že společnost neměla aktivní program odměn za nalezené chyby, což znamenalo, že tento objev nevedl k žádné odměně.
Bílý hacker odhalil zranitelnost
Podle Jina tým Virtuals Protocol také uzavřel Discord skupinu vytvořenou výhradně k hlášení této zranitelnosti. V příspěvku na X Jin uvedl:
„Zranitelnost je jednoduchá a může ovlivnit ekosystém Virtuals (ale Virtuals asi nezajímá bezpečnost).“
Jin vysvětlil, že zranitelnost byla spojena s nedostatkem validace při vytváření AgentTokens na základě interního prahového limitu pro bondy. „Pokud by byla zneužita, tato zranitelnost by zabránila generování AgentTokens, dokud by kontrakt nebyl opraven,“ uvedl Jin.
Po zveřejnění informací na X kontaktoval tým Virtuals Protocol Jina a okamžitě vydal opravu.
Virtuals Protocol se stále nerozhodl ohledně odměny za nalezenou chybu
Navzdory včasné opravě Virtuals Protocol dosud neoznámil odměnu za nalezení chyby pro Jina. V zprávě pro výzkumníka společnost poděkovala Jinu za nahlášení problému a omluvila se za předchozí špatnou komunikaci.
„Ahoj Jine, ověřili jsme zranitelnost a aplikovali opravu níže. Děkujeme, že jsi nám to nahlásil, a omlouváme se za nedorozumění mezi podporou a tebou. Necháme si interně zhodnotit závažnost problému a brzy ti vydáme odměnu za chybu,“ uvedli zástupci společnosti ve zprávě pro bezpečnostního výzkumníka.
Když se Jina zeptali na očekávání ohledně odměny, uvedl, že nemá přehled o obvyklých odměnách za nalezené chyby. Jinu uvedl, že se o Virtuals Protocol začal zajímat poté, co jeho přítel investoval do tokenu vytvořeného na platformě Virtuals.
„Strávil jsem asi 30 minut prohlížením kódu, abych zjistil, zda je dobře napsaný,“ řekl Jin, než narazil na tuto chybu.