Możliwa do wykorzystania usterka w połączeniu mostka Ethereum i arbitraż Nitro zostało ujawnione przez anonimowego programistę, unikając kolejnego poważnego hackowania kryptowalut w ekosystemie kryptowalut.
Haker White Hat, Riptide, zgłosił nagrodę w wysokości 400 ETH, ujawniając krytyczny błąd w rozwiązaniu Arbitrum do skalowania Ethereum, który mógł pozwolić każdemu hakerowi ukraść wszystkie przychodzące depozyty między mostem warstwy 1 i warstwy 2.
Zamiast wykorzystywać naruszenie, haker etyczny zauważył: „Moje obecne zainteresowanie skupia się na arenie międzyłańcuchowej ze względu na złożoność związaną z twórcami tych projektów i znaczną ilość zagrożonych funduszy ze względu na obecną strukturę „miodarki” większość wdrożeń mostowych.”
Etyczny haker w białym kapeluszu wykorzystuje kolejny wielomilionowy exploit
Riptide zauważył w poście na blogu, że wiedział, że Arbitrum Nitro jest uruchamiany, i postanowił obserwować aktualizację, aby sprawdzić jej sukces. Jednak po znalezieniu bezpieczeństwo etyczny haker zauważył, że było wystarczająco dużo czasu, aby selektywnie celować w duże depozyty ETH, aby pozostać niewykrytym przez dłuższy czas, odprowadzić każdy pojedynczy depozyt, który przechodzi przez most, lub po prostu poczekać i uruchomić kolejny ogromny depozyt ETH.
Opóźniona skrzynka odbiorcza łańcucha Arbitrum, która służy do deponowania ETH lub tokenów za pośrednictwem mostu, wykorzystuje funkcję inicjalizacji. Haker w białym kapeluszu zauważył, że „możemy przejąć wszystkie przychodzące depozyty ETH od użytkowników próbujących połączyć się z Arbitrum za pomocą funkcji depositEth()”.
Najbardziej wykorzystywane są luki w mostkach kryptograficznych
Wcześniej w sierpniu most kryptograficzny Nomad został wykorzystany za prawie 200 milionów dolarów, ponieważ ataki z mostu są coraz powszechniejszą taktyką przestępców. Tylko w tym roku miało miejsce wiele ataków, w tym atak o wartości 600 milionów dolarów na ponownie uruchomiony most Ronin Axie Infinity.
Hakerzy podobno Ukradłem prawie 2 miliardy od DeFi branży w ciągu pierwszych sześciu miesięcy tego roku, według Chainalysis. Tymczasem szacuje się również, że Północnokoreańskie grupy przestępcze już pobrał 1 miliard dolarów w kryptowalutach od DeFi protokołów w samym 2022 roku.
W związku z tym incydent rozpoczął debatę na temat liczby nagród przekazanych programistom i hakerom w białych kapeluszach za ujawnienie słabości. Deweloper Optimism, który używa na Twitterze „smartcontracts.eth”, argumentował, że biorąc pod uwagę potencjalny wpływ błędu, można było przyznać maksymalną nagrodę, dodając: „Błąd mostu Arbitrum to krytyczny błąd mostu nr 3 spowodowany przez złe inicjatory, na wypadek, gdybyśmy potrzebowali innego powodu, aby pozbyć się inicjatorów. Zaskoczony Arbitrum zapłacił tylko 400 ETH, a nie maksymalną przyznaną nagrodę.”
Na blogu podkreślono, że najbardziej znaczący depozyt odnotowany w kontrakcie na skrzynkę odbiorczą wyniósł 168,000 250 ETH (blisko 24 milionów dolarów), przy czym łączne depozyty w ciągu 1000 godzin wahały się od ~5000 do ~XNUMX ETH, ujawniając zakres potencjalnego wyciągnięcia dywanu lub włamania.
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/