Експлуатаційна помилка в з’єднанні мосту Ethereum та Арбітраж Nitro було розкрито анонімним розробником, який уникнув чергового великого крипто-злому в крипто-екосистемі.
Хакер із білим капелюхом, riptide, зажадав винагороду в розмірі 400 ETH, виявивши критичну помилку в рішенні для масштабування Ethereum Arbitrum, яка могла дозволити будь-якому хакеру вкрасти всі вхідні депозити між мостом Layer1 і Layer2.
Замість того, щоб використати порушення, етичний хакер зазначив: «Я зараз зацікавлений у крос-ланцюжках через складність, пов’язану з розробниками цих проектів, і значну суму коштів під загрозою через поточну структуру «приманки» більшість реалізацій мосту».
Етичний білий хакер відвернув ще один багатомільйонний подвиг
Riptide зазначив у дописі в блозі, що він знав, що Arbitrum Nitro запускається, і вирішив стежити за оновленням, щоб перевірити його успіх. Однак після знаходження безпеку Порушення, етичний хакер зауважив, що було достатньо часу для вибіркового націлювання на великі депозити ETH, щоб залишатися непоміченими протягом більш тривалого періоду, перекачувати кожен окремий депозит, який проходить через міст, або просто чекати та передбачати наступний масивний депозит ETH.
Delayed Inbox мережі Arbitrum, яка використовується для внесення ETH або токенів через міст, використовує функцію ініціалізації. Хакер у білому капелюсі зазначив, що «ми можемо викрасти всі вхідні депозити ETH від користувачів, які намагаються підключитися до Arbitrum за допомогою функції depositEth().»
Найбільше використовують уразливості на криптомостах
Раніше в серпні крипто міст Nomad було використано майже на 200 мільйонів доларів, оскільки напади на мости стають все більш поширеною тактикою для злочинців. Численні атаки відбулися лише цього року, включно з атакою вартістю 600 мільйонів доларів США на перезапущений міст Роніна Axie Infinity.
Повідомляється, що хакери вкрав майже 2 мільярди доларів США Defi промисловості за перші шість місяців цього року, за даними Chainalysis. Тим часом також оцінюється, що Північнокорейські кримінальні угруповання вже взяв 1 мільярд доларів у криптовалюті Defi протоколів лише у 2022 році.
Таким чином, цей інцидент також спровокував дискусію щодо кількості винагород, які виплачуються розробникам і білим хакерам за виявлення недоліків. Розробник Optimism, який використовує дескриптор Twitter «smartcontracts.eth», стверджував, що, враховуючи потенційний вплив помилки, можна було б отримати максимальну винагороду, додавши: «Помилка мосту Arbitrum є критичною помилкою мосту №3, спричиненою поганими ініціалізаторами, на випадок, якщо нам потрібна інша причина, щоб позбутися ініціалізаторів. Здивований Arbitrum заплатив лише 400 ETH, а не максимальну винагороду».
У блозі наголошується, що найбільш значний депозит, зафіксований у контракті на вхідну скриньку, становив 168,000 250 ETH (близько 24 мільйонів доларів США), із загальними депозитами за 1000 години від ~5000 до ~XNUMX ETH, що показує ступінь потенційного витягування або злому.
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/