Эксплуатируемая неисправность моста, соединяющего Эфириум и арбитум Nitro был раскрыт анонимным разработчиком, избежавшим еще одного крупного крипто-взлома в крипто-экосистеме.
Хакер в белой шляпе, riptide, потребовал награду в размере 400 ETH, обнаружив критическую ошибку в решении для масштабирования Ethereum Arbitrum, которая могла позволить любому хакеру украсть все входящие депозиты между мостами Layer1 и Layer2.
Этичный хакер отметил, что вместо того, чтобы эксплуатировать брешь, «мой текущий интерес связан с межсетевыми аренами из-за сложности, связанной с разработчиками этих проектов, и значительного количества средств, находящихся под угрозой из-за текущей структуры «приманки». большинство реализаций моста».
Этический хакер в белой шляпе отвлекает еще одну многомиллионную эксплойт
Riptide отметил в своем блоге, что знал о запуске Arbitrum Nitro и решил следить за обновлением, чтобы проверить его успех. Однако после обнаружения безопасность взлома, этический хакер отметил, что было достаточно времени, чтобы выборочно нацелиться на крупные депозиты ETH, чтобы оставаться незамеченными в течение более длительного периода, откачивать каждый отдельный депозит, который проходит через мост, или просто ждать и опережать следующий крупный депозит ETH.
Отложенный почтовый ящик сети Arbitrum, который используется для внесения ETH или токенов через мост, использует функцию инициализации. Хакер в белой шляпе отметил, что «мы можем захватить все входящие депозиты ETH от пользователей, пытающихся подключиться к Arbitrum через функцию DepositEth()».
Уязвимости на криптомостах используются чаще всего
Ранее в августе криптомост Кочевник был использован почти на 200 миллионов долларов, поскольку атаки на мосты становятся все более распространенной тактикой для преступников. Только в этом году произошло множество атак, в том числе атака стоимостью 600 миллионов долларов на перезапущенный мост Ронинов Axie Infinity.
Сообщается, что хакеры украли почти 2 миллиарда долларов из Defi отрасли за первые шесть месяцев текущего года, по данным Chainalysis. При этом также предполагается, что Северокорейские преступные группировки уже забрал 1 миллиард долларов в криптовалюте у Defi протоколов только в 2022 году.
С этим инцидентом также начались дебаты о количестве наград, переданных разработчикам и хакерам в белой шляпе за выявление слабых мест. Разработчик Optimism, который использует дескриптор smartcontracts.eth в Твиттере, утверждал, что, учитывая потенциальное влияние ошибки, можно было бы получить максимальное вознаграждение, добавив: «Ошибка моста Arbitrum — это критическая ошибка моста № 3, вызванная плохими инициализаторами, на случай, если нам понадобится еще одна причина, чтобы избавиться от инициализаторов. Удивленный Arbitrum заплатил только 400 ETH, а не максимальную награду».
В блоге подчеркивается, что самый значительный депозит, зарегистрированный во входящем контракте, составлял 168,000 250 ETH (около 24 миллионов долларов США), а общий объем депозитов за 1000 часа колебался от ~ 5000 до ~ XNUMX ETH, что раскрывает масштабы потенциальной кражи или взлома.
Отказ от ответственности
Вся информация, содержащаяся на нашем веб-сайте, публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, размещенной на нашем веб-сайте, совершаются исключительно на свой страх и риск.
Источник: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/