Využiteľná chyba v pripojení mosta Ethereum a Arbitráž Nitro odhalil anonymný vývojár, čím sa vyhol ďalšiemu veľkému krypto hacku v krypto ekosystéme.
Hacker s bielym klobúkom, riptide, si vyžiadal odmenu 400 ETH odhalením kritickej chyby na riešení škálovania Ethereum Arbitrum, ktorá mohla umožniť akémukoľvek hackerovi ukradnúť všetky prichádzajúce vklady medzi mostom Layer1 a Layer2.
Namiesto toho, aby etický hacker využil toto porušenie, poznamenal: „Mojím súčasným záujmom je cross-chain aréna kvôli zložitosti vývojárov týchto projektov a značnému množstvu finančných prostriedkov ohrozených v dôsledku súčasnej štruktúry „honeypot“ väčšina implementácií mostov.“
Etický hacker s bielym klobúkom zneužil ďalší podvod v hodnote niekoľkých miliónov dolárov
Riptide v blogovom príspevku poznamenal, že vedel, že Arbitrum Nitro sa spúšťa, a rozhodol sa sledovať aktualizáciu, aby skontroloval jej úspech. Avšak po zistení zabezpečenia etický hacker poznamenal, že bolo dosť času na selektívne zameranie veľkých vkladov ETH, aby zostali nezistené dlhšiu dobu, odčerpali každý jeden vklad, ktorý prejde mostom, alebo jednoducho počkali a spustili ďalší masívny vklad ETH.
Oneskorená doručená pošta reťazca Arbitrum, ktorá sa používa na vkladanie ETH alebo tokenov cez most, používa funkciu inicializátora. Hacker s bielym klobúkom poznamenal, že „môžeme uniesť všetky prichádzajúce vklady ETH od používateľov, ktorí sa pokúšajú premostiť na Arbitrum prostredníctvom funkcie depositEth().
Najviac využívané sú zraniteľnosti na krypto mostoch
Začiatkom augusta, krypto most Nomad bol zneužitý za takmer 200 miliónov dolárov, keďže útoky na mosty sú čoraz bežnejšou taktikou zločincov. Len tento rok došlo k mnohým útokom, vrátane útoku 600 miliónov dolárov na obnovený Ronin most Axie Infinity.
Údajne hackeri ukradol takmer 2 miliardy dolárov od defi priemyslu počas prvých šiestich mesiacov tohto roka, podľa Chainalysis. Medzitým sa tiež odhaduje, že Severokórejské zločinecké skupiny už zobral 1 miliardu dolárov v kryptomene defi protokolov len v roku 2022.
Tento incident tiež odštartoval debatu o počte odmien odovzdaných vývojárom a hackerom v bielom klobúku za odhalenie slabých stránok. Vývojár Optimism, ktorý používa twitterový popisovač 'smartcontracts.eth', tvrdil, že vzhľadom na potenciálny vplyv chyby mohla byť poskytnutá maximálna odmena a dodal: „Chyba mosta Arbitrum je kritická chyba mosta č. 3 spôsobená zlými inicializátormi, pre prípad, že by sme potrebovali ďalší dôvod, prečo sa zbaviť inicializátorov. Prekvapený Arbitrum zaplatil iba 400 ETH a nie maximálnu poskytnutú odmenu.“
Blog zdôraznil, že najvýznamnejší vklad zaznamenaný na zmluve o doručenej pošte bol 168,000 250 ETH (takmer 24 miliónov USD), pričom celkové vklady za 1000 hodín sa pohybovali od ~ 5000 XNUMX do ~ XNUMX XNUMX ETH, čo odhaľuje rozsah potenciálneho vytiahnutia alebo hacknutia koberca.
Vylúčenie zodpovednosti
Všetky informácie uvedené na našej webovej stránke sú zverejnené v dobrej viere a iba na všeobecné informačné účely. Akékoľvek kroky, ktoré čitateľ vykoná na základe informácií nájdených na našej webovej stránke, sú výlučne na jeho vlastné riziko.
Zdroj: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/