Dnes ráno sa objavili podrobnosti o zraniteľnosti a odmene, ktorú zaplatilo Arbitrum. Opravený exploit mohol ohroziť viac ako 250 miliónov dolárov.
Zraniteľnosť objavil pseudonymný lovec odmien „0xriptide“. Mohlo to ovplyvniť každého používateľa, ktorý sa pokúsil prepojiť prostriedky z Etherea do Arbitrum Nitro, povedal 0xriptide.
Arbitrum zaplatilo 0xriptide 400 ETH (približne 520,000 XNUMX USD) ako kompenzáciu za upozornenie na túto zraniteľnosť.
0xriptidy zo dňa na deň pozostáva z prehľadávania ImmuneFi, platformy bug bounty, ktorá zabránila hackerom v hodnote viac ako 20 miliárd dolárov. Jeho hlavné zameranie sa v poslednej dobe sústreďovalo na predchádzanie zneužívaniu krížových reťazcov, keďže predstavujú značne väčšie množstvo finančných prostriedkov ohrozených v dôsledku štruktúry „honeypot“ väčšiny prepojovacích protokolov, povedal v r. správa.
Jeho prvé hľadanie exploitu Arbitrum začalo pred niekoľkými týždňami pred aktualizáciou Arbitrum Nitro. Pri počiatočnom vyšetrovaní zistil zraniteľnosť, v ktorej bola preklenovacia zmluva schopná prijímať vklady, aj keď zmluva bola inicializovaná skôr.
0xriptide povedal,
„Keď natrafíš na an premenná s neinicializovanou adresou v Solidity – vždy by ste si mali nájsť chvíľu na zastavenie a ďalšie skúmanie, pretože nikdy neviete, či bola zámerne ponechaná neinicializovaná alebo náhodou."
Most využiť
Po prehrabaní neinicializovanej adresy 0xriptide zistil, že hacker bude môcť nastaviť svoju vlastnú adresu ako most, napodobňujúc skutočnú zmluvu, a ukradnúť všetky prichádzajúce vklady ETH z Etheruem do Arbitrum Nitro.
Hacker by mal možnosť buď zacieliť na väčšie vklady ETH, aby zakryl ich činy, alebo by mohol začať s partizánskym útokom a vysať všetky prichádzajúce prostriedky.
Najväčšie ložisko počas obdobia, kedy mohlo dôjsť k zneužitiu, bolo zhruba 168,000 250 ETH alebo 24 miliónov dolárov. Priemerné vklady v akomkoľvek 1,000-hodinovom časovom období, keď mohla byť zraniteľnosť zneužitá, boli kdekoľvek od 5,000 XNUMX do XNUMX XNUMX ETH.
© 2022 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
o autorovi
Mike je reportér zaoberajúci sa blockchainovými ekosystémami, ktorý sa špecializuje na dôkazy s nulovými znalosťami, súkromie a suverénnu digitálnu identifikáciu. Pred príchodom do The Block Mike spolupracoval s Circle, Blocknative a rôznymi protokolmi DeFi na raste a stratégii.
Zdroj: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss