TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети
-
Разработчики блокчейн-проекта TRON раскрыли информацию об уязвимости «высокого уровня», угрожавшей стабильности их сети. Соответствующее уведомление было опубликовано на сайте HackerOne.
Согласно публикации, до недавнего времени злоумышленники могли расходовать вычислительные ресурсы сети путём осуществления DDoS-атак. «Используя один компьютер, злоумышленник мог направить DDoS-атаку на все или 51% нод супер-представителей, что привело бы к невозможности использования сети Tron», - пишет TRON Foundation в отчёте.
Чтобы воспользоваться уязвимостью, злоумышленнику требовалось последовательно вызывать срабатывание функций смарт-контрактов при помощи вредоносного байт-кода, понимаемого виртуальной машиной TRON.
Изначально исследователь проблем кибербезопасности danish1970 сообщил TRON Foundation о проблеме 14 января, за что 1 февраля получил награду в $1 500. Одновременно с раскрытием информации об этой проблеме TRON Foundation 4 дня назад без описания подробностей сообщила, что выплатила за помощь в обнаружении другой уязвимости $3 100.
Всего за 10 месяцев существования программы отлова багов TRON Foundation заплатила экспертам HackerOne $78 800 за 15 отдельных сообщений о найденных уязвимостях. 12 из них имеют отметку «устранённая». Самая крупная награда, выплаченная организацией к сегодняшнему дню, составила $10 000.
В 2018 году независимые эксперты по кибербезопасности заработали $878 000, раскрывая информацию об уязвимостях крипто-стартапам. Более половины этой суммы было уплачено компанией Block.one, занимающейся разработкой блокчейн-проекта EOS.
-
Белые и чёрные хакеры.. Это как вечная битва сил света с силами тьмы. Война Добра со Злом). Видимо, из этой конкретной уязвимости трудно было извлечь материальную выгоду для хакера. Просто положить сеть - это баловство для школьников.
-
мне кажется, что оплата в $1 500 за уязвимость высокого уровня, не очень соответствует масштабам проделанной работы. могли бы и побольше заплатить.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
мне кажется, что оплата в $1 500 за уязвимость высокого уровня, не очень соответствует масштабам проделанной работы. могли бы и побольше заплатить.
ну там наверное не так опасная ситуация была.
-
@casio что тогда по-вашему значит "высокого уровня"? тогда бы написали, что просто стандартная уязвимость.
-
Общие выплаты компаний за предоставление информации о найденных уязвимостях весьма внушительные. Так что вряд ли работу белых хакеров можно назвать неблагодарной.
-
@cryptomax компания гораздо больше тратит на собственных технарей, которые ничего этого найти не могут. так что могли бы быть и щедрее.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@cryptomax компания гораздо больше тратит на собственных технарей, которые ничего этого найти не могут. так что могли бы быть и щедрее.
свои просто не найдут такое ... ибо у них подход уже свой к этому вопросу.
-
@casio тогда зачем их держать? может все отдать на откуп баг хантерам?
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio тогда зачем их держать? может все отдать на откуп баг хантерам?
ну кто то информацию от них должен же обрабатывать....
-
@casio можно держать пару человек, это выйдет гораздо дешевле, чем целый отдел.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio можно держать пару человек, это выйдет гораздо дешевле, чем целый отдел.
Ну там думаю не очень много людей работает ....
-
@casio сомневаюсь, что там мало людей. обычно команды могут включать несколько десятков разработчиков.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio сомневаюсь, что там мало людей. обычно команды могут включать несколько десятков разработчиков.
ну обычно несколько таких людей ... остальные так на подхвате....
-
@casio но все равно это же команда и зарплату они получают немаленькую.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio но все равно это же команда и зарплату они получают немаленькую.
ну так зарплату там сами девы проектов утверждают ....
-
@casio зарплату утверждают основатели проекта, а техническая команда редко в основателях ходит.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio зарплату утверждают основатели проекта, а техническая команда редко в основателях ходит.
ну так они же девы проекта и есть же ...
-
@casio не всегда, иногда просто рулят проектом, а работают совсем другие люди.
-
Участник @ivan-ivanov написал в TRON Foundation отчиталась об устранении критического бага, угрожавшего стабильности сети:
@casio не всегда, иногда просто рулят проектом, а работают совсем другие люди.
ну в таком случае нечего и не получиться по факту.