O defecțiune exploatabilă în podul de legătură Ethereum și Arbitrul Nitro a fost dezvăluit de un dezvoltator anonim, evitând un alt hack cripto important în ecosistemul cripto.
Hackerul de pălărie albă, riptide, a revendicat o recompensă de 400 ETH, dezvăluind o eroare critică pe soluția de scalare Ethereum Arbitrum, care ar fi putut permite oricărui hacker să fure toate depozitele primite între podul Layer1 și Layer2.
În loc să exploateze încălcarea, hackerul etic a remarcat: „Interesul meu actual este în arena cross-chain din cauza complexității implicate pentru dezvoltatorii acestor proiecte și a cantității semnificative de fonduri expuse riscului din cauza structurii actuale „honeypot” a majoritatea implementărilor bridge.”
Un hacker etic cu pălărie albă deturnează o altă exploatare de mai multe milioane de dolari
Riptide a remarcat într-o postare pe blog că știa că Arbitrum Nitro se lansează și a decis să urmărească actualizarea pentru a verifica succesul acesteia. Cu toate acestea, după găsirea securitate încălcarea, hackerul etic a remarcat că a existat suficient timp pentru a viza în mod selectiv depozitele mari de ETH, pentru a rămâne nedetectate pentru o perioadă mai îndelungată, pentru a elimina fiecare depozit care trece prin pod sau pur și simplu să aștepte și să conducă în avans următorul depozit masiv de ETH.
Cutia de intrare întârziată a lanțului Arbitrum, care este folosită pentru depunerea ETH sau a jetoanelor printr-o punte, utilizează o funcție de inițializare. Hackerul cu pălărie albă a remarcat că „putem deturna toate depozitele ETH primite de la utilizatorii care încearcă să facă legătura cu Arbitrum prin intermediul funcției depositEth()”.
Vulnerabilitățile de pe podurile cripto sunt cele mai exploatate
Mai devreme în august, cripto pod Nomad a fost exploatat pentru aproape 200 de milioane de dolari, deoarece atacurile pe poduri sunt o tactică din ce în ce mai comună pentru criminali. Numai în acest an au avut loc numeroase atacuri, inclusiv atacul de 600 de milioane de dolari asupra podului relansat Ronin de la Axie Infinity.
Se pare că hackeri furat aproape 2 miliarde de dolari de la DEFI industrie în primele șase luni ale acestui an, conform Chainalysis. Între timp, se mai estimează că Grupuri criminale nord-coreene a luat deja 1 miliard de dolari în criptomonede de la DEFI protocoale numai în 2022.
Cu aceasta, incidentul a început și o dezbatere în jurul numărului de recompense predate dezvoltatorilor și hackerilor de pălărie albă pentru demascarea punctelor slabe. Un dezvoltator Optimism, care folosește mânerul Twitter „smartcontracts.eth”, a susținut că, având în vedere impactul potențial al defecțiunii, recompensa maximă ar fi putut fi acordată, adăugând: „Eroarea de punte Arbitrum este o eroare critică a podului nr. 3, cauzată de inițializatoare proaste, în cazul în care aveam nevoie de un alt motiv pentru a scăpa de inițializatoare. Surprins, Arbitrum a plătit doar 400 de ETH și nu [recompensa maximă] dată.”
Blogul a evidențiat că cel mai important depozit înregistrat pe contractul de inbox a fost de 168,000 ETH (aproape de 250 de milioane de dolari), cu depuneri totale în 24 de ore variind de la ~1000 la ~5000 ETH, expunând amploarea unui potențial tragere sau hack.
Declinare a responsabilităţii
Toate informațiile conținute pe site-ul nostru web sunt publicate cu bună-credință și numai în scopuri generale. Orice acțiune pe care cititorul o ia asupra informațiilor găsite pe site-ul nostru este strict pe propria răspundere.
Sursa: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/