Virtuals Protocol исправляет ошибку и перезапускает программу багбаунти

Неожиданная ошибка, обнаруженная в проверенном смарт-контракте, заставила Virtuals Protocol, блокчейн-компанию, специализирующуюся на агентах искусственного интеллекта, выпустить своевременное исправление и перезапустить свою программу вознаграждений за найденные ошибки.

3 декабря 2024 года псевдонимный исследователь безопасности Jinu связался с Virtuals Protocol (VIRTUAL) после обнаружения ошибки в одном из проверенных контрактов. Тем не менее, сообщив о проблеме, Jinu узнал, что у компании нет активной программы вознаграждения за ошибки, что означает, что открытие не подпадает под вознаграждение.

Virtuals Protocol признал обнаружение ошибки белым хакером. Источник: Jinu

Белый хакер находит уязвимость

По словам Jinu, команда Virtuals Protocol также закрыла группу Discord, созданную исключительно для сообщения об уязвимостях. В теме X Jinu сказал:

«Уязвимость проста и может повлиять на экосистему виртуальных машин (но виртуальные машины, вероятно, не заботятся о безопасности)».

Jinu объяснил, что уязвимость была связана с отсутствием проверки при создании AgentTokens на основе внутреннего порога облигаций.

«Если бы эта уязвимость была использована, AgentTokens не были бы сгенерированы до тех пор, пока контракт не был бы исправлен», — сказал Jinu.

После того, как информация была опубликована на X, Virtuals Protocol связался с Jinu и немедленно выпустил исправление.

Твит белого хакера Virtuals. Источник: Jinu.

Virtuals Protocol еще не принял решение о программе багбаунти

Несмотря на своевременное исправление, Virtuals Protocol еще не объявил вознаграждение за обнаружение ошибки для Jinu. В сообщении исследователю компания поблагодарила Jinu за сообщение о проблеме и извинилась за ранее возникшее недопонимание.

«Привет, Jinu, мы проверили уязвимость и применили исправление ниже. Спасибо, что сообщили нам об этом, и мы приносим извинения за недопонимание между службой поддержки и вами. Давайте проведем внутреннюю оценку серьезности проблемы, и вскоре мы выдадим вам вознаграждение за обнаружение ошибки», — сообщили представители компании исследователю безопасности.

Когда их спросили об ожидаемом вознаграждении, Jinu ответил, что ему неизвестно об общих вознаграждениях за обнаружение ошибок. Jinu рассказал, что он заинтересовался Virtuals Protocols после того, как его друг инвестировал в токен, созданный на Virtuals.

«Я потратил около 30 минут на изучение кода, чтобы убедиться, что он хорошо сделан, — сказал Jinu, — затем наткнулся на ошибку».