Dnes ráno se objevily podrobnosti o zranitelnosti a odměně vyplacené společností Arbitrum. Opravený exploit mohl ohrozit více než 250 milionů dolarů.
Zranitelnost objevil pseudonymní lovec odměn „0xriptide“. Mohlo to ovlivnit každého uživatele, který se pokusil přemostit prostředky z Etherea do Arbitrum Nitro, řekl 0xriptide.
Arbitrum zaplatilo 0xriptide 400 ETH (asi 520,000 XNUMX $) jako kompenzaci za upozornění na zranitelnost.
0xriptidy day-to-day se skládá z prohledávání ImmuneFi, platformy bug bounty, která zabránila hackům ve výši více než 20 miliard dolarů. Jeho primární zaměření se v poslední době soustředilo na prevenci zneužití napříč řetězci, protože představují značně větší množství finančních prostředků ohrožených kvůli struktuře „honeypot“ většiny přemosťovacích protokolů, řekl v hlášení.
Jeho počáteční hledání exploitu Arbitrum začalo před několika týdny před upgradem Arbitrum Nitro. Při počátečním vyšetřování našel zranitelnost, kdy překlenovací smlouva mohla přijímat vklady, přestože smlouva byla inicializována dříve.
0xriptide řekl,
„Když narazíš an neinicializovaná proměnná adresy v Solidity – vždy byste si měli udělat chvíli pauzu a prozkoumat to dále, protože nikdy nevíte, zda nebyla úmyslně ponechána neinicializovaná nebo náhodou."
Most využít
Po prozkoumání neinicializované adresy 0xriptide zjistil, že hacker bude schopen nastavit jejich vlastní adresu jako most, napodobující skutečnou smlouvu, a ukrást všechny příchozí vklady ETH z Etheruem do Arbitrum Nitro.
Hacker by měl flexibilitu buď zacílit na větší vklady ETH, aby zakryl jejich činy, nebo zahájit guerillový útok a vysát všechny přicházející prostředky.
Největší vklad v období, kdy mohlo dojít k exploataci, byl zhruba 168,000 250 ETH, neboli 24 milionů $. Průměrné vklady v jakémkoli 1,000hodinovém časovém období, kdy mohla být zranitelnost zneužita, byly kdekoli od 5,000 XNUMX do XNUMX XNUMX ETH.
© 2022 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
o autorovi
Mike je reportér zabývající se blockchainovými ekosystémy, který se specializuje na důkazy s nulovými znalostmi, soukromí a suverénní digitální identifikaci. Před nástupem do The Block Mike spolupracoval s Circle, Blocknative a různými protokoly DeFi na růstu a strategii.
Zdroj: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss