Тази сутрин се появиха подробности за уязвимост и премия, платена от Arbitrum. Пачираният експлойт можеше да компрометира повече от 250 милиона долара.
Уязвимостта е открита от псевдонимния ловец на солидни глави „0xriptide“. Това можеше да засегне всеки потребител, който се опита да прехвърли средства от Ethereum към Arbitrum Nitro, каза 0xriptide.
Arbitrum е платил на 0xriptide 400 ETH (около $520,000 XNUMX) като компенсация за това, че го е предупредил за уязвимостта.
0xriptide's ден за ден се състои от претърсване на ImmuneFi, платформа за награди за грешки, която е предотвратила хакове на стойност над 20 милиарда долара. Неговият основен фокус напоследък е съсредоточен върху предотвратяването на кръстосани верижни експлойти, тъй като те излагат на риск значително по-голямо количество средства поради структурата на „honeypot“ на повечето мостови протоколи, каза той в Докладът.
Първоначалното му търсене на експлойта на Arbitrum започна преди няколко седмици преди надграждането на Arbitrum Nitro. При първоначалното си разследване той откри уязвимост, при която свързващият договор можеше да приема депозити, въпреки че договорът беше инициализиран преди това.
0xriptide каза,
„Когато се натъкнете на an неинициализирана адресна променлива в Solidity - винаги трябва да отделяте момент, за да спрете и да проучите допълнително, защото никога не знаете дали е оставена нарочно неинициализирана или случайно."
Мостът използват
След копаене в неинициализирания адрес, 0xriptide откри, че хакер ще може да зададе свой собствен адрес като мост, имитирайки действителния договор, и да открадне всички входящи ETH депозити от Etheruem към Arbitrum Nitro.
Хакерът би имал гъвкавостта или да се насочи към по-големи ETH депозити, за да прикрие действията си, или да започне атака от партизански тип и да източи всички постъпващи средства.
Най-големият депозит през периода, когато експлойтът можеше да се случи, беше приблизително 168,000 250 ETH, или 24 милиона долара. Средните депозити за всеки 1,000-часов период от време, когато уязвимостта можеше да бъде използвана, бяха от 5,000 до XNUMX ETH.
© 2022 The Block Crypto, Inc. Всички права запазени. Тази статия е предоставена само за информационни цели. Не се предлага или не се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
За автора
Майк е репортер, отразяващ блокчейн екосистемите, който е специализиран в доказателства с нулево знание, поверителност и самостоятелна цифрова идентификация. Преди да се присъедини към The Block, Майк работи с Circle, Blocknative и различни DeFi протоколи за растеж и стратегия.
Източник: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss