Een slimme beveiligingsonderzoeker heeft een ernstig probleem ontdekt in een belangrijk contract van Virtuals Protocol. Het probleem werd snel opgelost, maar het incident legt een pijnpunt bloot: het ontbreken van een actief beloningssysteem voor bugmeldingen.

Een onverwachte kwetsbaarheid

Begin december 2024 ontdekte Jinu, een anonieme beveiligingsonderzoeker, een fout in een zogenaamd “gecontroleerd” slim contract van Virtuals Protocol. Dit blockchainbedrijf richt zich op kunstmatige intelligentie en slimme agents. De fout had grote gevolgen kunnen hebben: het creëren van AgentTokens binnen het systeem zou volledig zijn geblokkeerd totdat het contract werd aangepast.

Jinu meldde het probleem direct, maar kreeg te horen dat Virtuals Protocol op dat moment geen bug bounty-programma had. Met andere woorden: er was geen beloning beschikbaar voor de ontdekking. Tot overmaat van ramp sloot het bedrijf ook nog eens de Discord-groep die bedoeld was voor kwetsbaarheidsmeldingen. Gefrustreerd maakte Jinu de fout openbaar via X (voorheen Twitter).

In een bericht liet Jinu weten:

“Deze kwetsbaarheid is simpel, maar kan de werking van het hele ecosysteem beïnvloeden. Het lijkt erop dat Virtuals weinig om beveiliging geeft.”

Snelle reactie van Virtuals Protocol

De publieke druk deed zijn werk: Virtuals Protocol nam direct contact op met Jinu en loste het probleem razendsnel op. In een bericht aan de onderzoeker bedankte het bedrijf hen voor de melding en bood excuses aan voor de miscommunicatie.

“Bedankt voor het melden van dit probleem,” schreef het bedrijf.

“We hebben de kwetsbaarheid geverifieerd en een patch toegepast. We beoordelen momenteel de ernst van het probleem en laten je snel weten of je in aanmerking komt voor een beloning.”

Komt er een beloning?

Hoewel Virtuals Protocol snel handelde, blijft het onduidelijk of Jinu daadwerkelijk een bug bounty ontvangt. Het bedrijf heeft beloofd dit intern te bespreken, maar een definitieve beslissing laat nog op zich wachten.

Voor Jinu was de ontdekking meer een kwestie van nieuwsgierigheid dan een zoektocht naar beloning. Een vriend had geïnvesteerd in een token dat gebruikmaakt van Virtuals Protocol, en uit interesse bekeek Jinu de code. Binnen 30 minuten was het probleem gevonden.

Beveiliging: een gedeelde verantwoordelijkheid

Het incident benadrukt hoe belangrijk goede beveiliging is in de cryptowereld. Het tonen van waardering voor white hat hackers, zoals Jinu, is cruciaal om een veilige omgeving te creëren. Virtuals Protocol heeft een kans om hier sterker uit te komen door transparanter te zijn en een actief bug bounty-programma op te zetten.

Voor de Nederlandse crypto-investeerder is dit een goede herinnering: ook projecten met audits kunnen kwetsbaar zijn. Het blijft belangrijk om kritisch te blijven en projecten niet blind te vertrouwen. Uiteindelijk zijn transparantie en snelle reacties de bouwstenen van een veilig blockchain-ecosysteem.