Využitelná chyba v připojení mostu Ethereum a Arbitráž Nitro byl odhalen anonymním vývojářem, čímž se vyhnul dalšímu velkému krypto hacku v krypto ekosystému.
Hacker s bílým kloboukem, riptide, si vyžádal odměnu 400 ETH odhalením kritické chyby na řešení škálování Ethereum Arbitrum, která mohla umožnit jakémukoli hackerovi ukrást všechny příchozí vklady mezi mostem Layer1 a Layer2.
Namísto toho, aby etický hacker využil porušení, poznamenal: „Můj současný zájem je v cross-chain aréně kvůli složitosti související s vývojáři těchto projektů a značnému množství finančních prostředků ohrožených kvůli současné struktuře ‚honeypot‘ většina mostních implementací.“
Etický hacker v bílém klobouku odkloní další multimilionový exploit
Riptide v příspěvku na blogu poznamenal, že věděl, že se Arbitrum Nitro spouští, a rozhodl se aktualizaci sledovat, aby ověřil její úspěch. Nicméně po zjištění zabezpečení etický hacker poznamenal, že bylo dost času na selektivní zacílení velkých depozit ETH, aby zůstaly nezjištěny po delší dobu, odsát každý jednotlivý vklad, který projde mostem, nebo jednoduše počkat a spustit další masivní depozit ETH.
Zpožděná doručená pošta řetězce Arbitrum, která se používá pro ukládání ETH nebo tokenů přes most, používá funkci inicializátoru. Hacker s bílým kloboukem poznamenal, že „můžeme unést všechny příchozí vklady ETH od uživatelů, kteří se pokoušejí přemostit na Arbitrum prostřednictvím funkce depositEth().
Nejvíce jsou zneužívány zranitelnosti na krypto mostech
Začátkem srpna krypto most Nomad byl zneužit za téměř 200 milionů dolarů, protože útoky na mosty jsou stále běžnější taktikou zločinců. Jen tento rok došlo k mnoha útokům, včetně útoku za 600 milionů dolarů na znovu spuštěný Roninův most Axie Infinity.
Údajně hackeři ukradl téměř 2 miliardy dolarů od DeFi průmyslu během prvních šesti měsíců letošního roku, podle Chainalysis. Mezitím se také odhaduje, že severokorejské zločinecké skupiny již vzal 1 miliardu dolarů v kryptoměně DeFi protokoly jen v roce 2022.
Incident také odstartoval debatu o počtu odměn předávaných vývojářům a bílým hackerům za odhalení slabých stránek. Vývojář Optimism, který používá twitterový popisovač 'smartcontracts.eth', tvrdil, že vzhledem k potenciálnímu dopadu chyby mohla být udělena maximální odměna a dodal: „Chyba mostu Arbitrum je kritická chyba mostu č. 3 způsobená špatnými inicializátory, pro případ, že bychom potřebovali další důvod, proč se zbavit inicializátorů. Surprised Arbitrum zaplatilo pouze 400 ETH a ne maximální poskytnutou odměnu.”
Blog zdůraznil, že nejvýznamnější vklad zaznamenaný na smlouvě s doručenou poštou byl 168,000 250 ETH (téměř 24 milionů $), přičemž celkové vklady za 1000 hodin se pohybovaly v rozmezí ~ 5000 XNUMX až ~ XNUMX XNUMX ETH, což odhaluje rozsah potenciálního vytahování nebo hackování koberce.
Odmítnutí odpovědnosti
Veškeré informace obsažené na našich webových stránkách jsou publikovány v dobré víře a pouze pro obecné informační účely. Jakákoli akce, kterou čtenář provede na základě informací nalezených na našich webových stránkách, je výhradně na jeho vlastní riziko.
Zdroj: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/