Greška u spoju mosta koja se može iskoristiti Ethereum i arbitraže Nitro je otkrio anonimni programer, izbjegavajući još jedan veliki kripto hak u kripto ekosustavu.
Haker s bijelim šeširom, Riptide, zatražio je nagradu od 400 ETH otkrivajući kritičnu pogrešku na Ethereum rješenju za skaliranje Arbitrum koja je mogla omogućiti bilo kojem hakeru da ukrade sve dolazne depozite između Layer1 i Layer2 mosta.
Umjesto da iskoristi kršenje, etički haker je primijetio: "Moj trenutni interes je unutar lančane arene zbog složenosti koja je uključena za programere ovih projekata i značajne količine sredstava koja su u opasnosti zbog trenutne 'honeypot' strukture većina implementacija mosta."
Etički haker s bijelim šeširom preusmjerava još jedan višemilijunski podvig
Riptide je u postu na blogu primijetio da je znao da se Arbitrum Nitro lansira te je odlučio pratiti nadogradnju kako bi provjerio njezin uspjeh. Međutim, nakon pronalaska sigurnosti kršenja, etički haker primijetio je da je bilo dovoljno vremena za selektivno ciljanje velikih ETH depozita kako bi ostali neotkriveni dulje razdoblje, izvući svaki pojedinačni depozit koji prođe kroz most ili jednostavno pričekati i unaprijed pokrenuti sljedeći masivni ETH depozit.
Delayed Inbox lanca Arbitrum, koji se koristi za polaganje ETH ili tokena putem mosta, koristi funkciju inicijalizacije. Haker s bijelim šeširom primijetio je da "možemo oteti sve dolazne ETH depozite od korisnika koji pokušavaju prijeći na Arbitrum putem funkcije depositEth()."
Najviše se iskorištavaju ranjivosti na kripto mostovima
Ranije u kolovozu, kripto most Nomad iskorišten je za gotovo 200 milijuna dolara jer su napadi na mostove sve češća taktika kriminalaca. Samo ove godine dogodili su se brojni napadi, uključujući napad vrijedan 600 milijuna dolara na ponovno pokrenuti Ronin most Axie Infinity.
Hakeri navodno ukrao gotovo 2 milijarde dolara od defi industrije tijekom prvih šest mjeseci ove godine, prema Chainalysis. U međuvremenu se također procjenjuje da Sjevernokorejske kriminalne skupine već uzeo milijardu dolara u kriptovaluti defi protokola samo u 2022.
Uz to, incident je također pokrenuo raspravu o broju nagrada koje su dodijeljene programerima i bijelim hakerima za razotkrivanje slabosti. Programer Optimisma, koji koristi Twitterov rukotvorac 'smartcontracts.eth', ustvrdio je da je s obzirom na potencijalni utjecaj pogreške mogla biti dodijeljena maksimalna nagrada, dodajući: "Arbitrum bridge bug je kritična bridge bug #3 uzrokovana lošim inicijalizatorima, u slučaju da nam treba još jedan razlog da se riješimo inicijalizatora. Iznenađeni Arbitrum platio je samo 400 ETH, a ne [najveću] dodijeljenu nagradu.”
Blog je istaknuo da je najznačajniji depozit zabilježen u ugovoru o pristigloj pošti iznosio 168,000 250 ETH (blizu 24 milijuna dolara), s ukupnim depozitima u 1000 sata u rasponu od ~5000 do ~XNUMX ETH, otkrivajući opseg potencijalnog povlačenja ili hakiranja.
Izjava o odricanju od odgovornosti
Svi podaci sadržani na našoj web stranici objavljeni su u dobroj namjeri i samo u opće informativne svrhe. Svaka radnja koju čitatelj poduzme na informacijama koje se nalaze na našoj web stranici strogo je na vlastiti rizik.
Izvor: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/