Dmitri Tsumak, de oprichter van het ETH 2.0-stakingsplatform StakeWise, ontdekte een ernstige kwetsbaarheid die de ETH-stakingpools Rocket Pool en Lido trof. De exploit is nu gepatcht, waarbij Rocket Pool en Lido elk Tsumak een bugbounty van $100.000 betaald hebben voor het identificeren van het probleem.
Maandag laat in de avond ontdekte StakeWise-oprichter Dmitri Tsumak een exploit waarmee node-operators geld konden verwijderen uit ETH 2.0 liquide stakingpools. Tsumak identificeerde aanvankelijk de exploit in de architectuur van het binnenkort te lanceren ETH-stakingsprotocol van Rocket Pool. Bij nader onderzoek bleek de bug ook van invloed te zijn op Lido, de huidige grootste ETH 2.0-stakingpool op Ethereum, met een totale waarde van $4,66 miljard.
Hoewel de door Rocket Pool en Lido gekozen node-operators vertrouwd zijn, wees de exploit op een kritieke kwetsbaarheid in de smart contract-architectuur die de protocollen beheerst. Terwijl de bug live was, was er ongeveer 100 ETH van gebruikers dat gevaar liep. De volgende ochtend hadden beide echter protocollen maatregelen genomen om de veiligheid van het geld van hun gebruikers te waarborgen.
De bug werd ontdekt slechts 24 uur voordat Rocket Pool live zou gaan op het Ethereum-mainnet; de lancering is nu uitgesteld. Tevens hebben Rocket Pool en Lido tijdelijke patches geïmplementeerd om het geld van gebruikers veilig te stellen, maar het probleem is nog niet volledig verholpen. Beide protocollen hebben een koers bepaald en werken momenteel aan een meer permanente oplossing voor de exploit.
Nadat het incident was opgelost, doken de betrokken partijen naar social media om hun respectievelijke gemeenschappen te informeren over wat er was gebeurd. Rocket Pool bedankte Tsumak voor het melden van de bug, ondanks dat hij de oprichter was een concurrent.
Op Twitter ging StakeWise in op de reden waarom het had besloten om informatie over de exploit openbaar te maken nadat deze was gepatcht. Het tweette het volgende:
“Bij StakeWise zijn we van mening dat zelfs als we met onze concurrenten te maken hebben, hoe veiliger we collectief zijn, hoe sterker het hele #ETH2-inzet-ecosysteem wordt. Om dit te bereiken, moeten we communiceren en elkaar beschermen.”
