Експлоатируема повреда в свързването на моста Ethereum намлява Арбитрам Nitro беше разкрит от анонимен разработчик, избягвайки друг голям крипто хак в крипто екосистемата.
Хакерът с бяла шапка, riptide, поиска награда от 400 ETH, като разкри критичен бъг в решението за мащабиране на Ethereum Arbitrum, който можеше да позволи на всеки хакер да открадне всички входящи депозити между моста Layer1 и Layer2.
Вместо да се възползва от пробива, етичният хакер отбеляза: „Текущият ми интерес е в арената на кръстосаните вериги поради сложността, свързана с разработчиците на тези проекти, и значителния размер на средствата, изложени на риск поради текущата структура на „honeypot“ на повечето мостови реализации.“
Етичният хакер с бяла шапка отклонява друг многомилионен експлойт
Riptide отбеляза в публикация в блог, че знае, че Arbitrum Nitro стартира и реши да следи надстройката, за да провери нейния успех. Въпреки това, след намирането на сигурност нарушение, етичният хакер отбеляза, че има достатъчно време за селективно насочване към големи ETH депозити, за да останат незабелязани за по-дълъг период от време, да източат всеки отделен депозит, който минава през моста, или просто да изчакат и да предупредят следващия масивен ETH депозит.
Отложената входяща кутия на веригата Arbitrum, която се използва за депозиране на ETH или токени чрез мост, използва функция за инициализиране. Хакерът с бяла шапка отбеляза, че „можем да отвлечем всички входящи ETH депозити от потребители, които се опитват да направят мост към Arbitrum чрез функцията depositEth().“
Най-експлоатирани са уязвимостите на крипто мостовете
По-рано през август, крипто мост Nomad беше експлоатиран за близо 200 милиона долара, тъй като атаките на мостове стават все по-честа тактика за престъпниците. Само тази година са извършени многобройни атаки, включително атаката за 600 милиона долара срещу възобновения мост Ронин на Axie Infinity.
Съобщава се за хакери открадна близо 2 милиарда долара от Актив индустрия през първите шест месеца на тази година, според Chainalysis. Междувременно се изчислява също, че Севернокорейски престъпни групи вече взе 1 милиард долара в криптовалута от Актив протоколи само през 2022 г.
С това инцидентът също така постави началото на дебат относно броя награди, дадени на разработчиците и белите хакери за разкриване на слабости. Разработчик на Optimism, който използва манипулатора на Twitter 'smartcontracts.eth', твърди, че като се има предвид потенциалното въздействие на грешката, може да бъде дадена максималната награда, добавяйки: „Бъгът на Arbitrum bridge е критичен бъг на моста #3, причинен от лоши инициализатори, в случай, че имаме нужда от друга причина да се отървем от инициализаторите. Изненаданият Arbitrum плати само 400 ETH, а не [максималната] дадена награда.”
Блогът подчертава, че най-значимият депозит, записан в договора за входяща кутия, е 168,000 250 ETH (близо до $24 милиона), като общите депозити за 1000 часа варират от ~5000 до ~XNUMX ETH, разкривайки степента на потенциално издърпване или хакване.
Отказ от отговорност
Цялата информация, съдържаща се на нашия уебсайт, се публикува добросъвестно и само за обща информация. Всяко действие, което читателят предприема спрямо информацията, намираща се на нашия уебсайт, е на свой собствен риск.
Източник: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/