To jutro so se pojavile podrobnosti o ranljivosti in nagradi, ki jo je plačal Arbitrum. Popravljeno izkoriščanje bi lahko ogrozilo več kot 250 milijonov dolarjev.
Ranljivost je odkril psevdonimni lovec na glave trdnosti »0xriptide«. Lahko bi vplivalo na katerega koli uporabnika, ki je poskušal premostiti sredstva iz Ethereuma v Arbitrum Nitro, je dejal 0xriptide.
Arbitrum je plačal 0xriptide 400 ETH (približno 520,000 USD) kot nadomestilo za opozorilo na ranljivost.
0xriptide's dan za dnem je sestavljen iz iskanja ImmuneFi, platforme za nagrajevanje hroščev, ki je preprečila vdore v vrednosti več kot 20 milijard USD. Njegov glavni poudarek je bil v zadnjem času osredotočen na preprečevanje izkoriščanja navzkrižnih verig, saj predstavljajo precej večjo količino sredstev v nevarnosti zaradi strukture "honeypot" večine premostitvenih protokolov, je dejal v Poročilo.
Njegovo prvo iskanje izkoriščanja Arbitrum se je začelo pred nekaj tedni pred nadgradnjo Arbitrum Nitro. Po svoji začetni preiskavi je odkril ranljivost, kjer je premostitvena pogodba lahko sprejemala depozite, čeprav je bila pogodba predhodno inicializirana.
0xriptide je rekel
»Ko naletiš na an neinicializirana spremenljivka naslova v Solidityju — vedno si morate vzeti trenutek in se ustaviti in nadalje raziskati, ker nikoli ne veste, ali je bila namerno puščena neinicializirana ali po nesreči."
Most izkoriščanje
Po tem, ko se je poglobil v neinicializiran naslov, je 0xriptide ugotovil, da bi heker lahko nastavil svoj naslov kot most, posnemal dejansko pogodbo, in ukradel vse dohodne depozite ETH iz Etheruema v Arbitrum Nitro.
Heker bi imel možnost, da cilja na večje depozite ETH, da bi prikril svoja dejanja, ali pa bi začel z gverilskim napadom in posrkal vsa pritekla sredstva.
Največji depozit v obdobju, ko bi lahko prišlo do izkoriščanja, je znašal približno 168,000 ETH ali 250 milijonov dolarjev. Povprečni depoziti v katerem koli 24-urnem časovnem obdobju, ko bi lahko izkoristili ranljivost, so znašali od 1,000 do 5,000 ETH.
© 2022 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
O avtorju
Mike je poročevalec, ki pokriva ekosisteme blockchain in je specializiran za dokaze brez znanja, zasebnost in samostojno digitalno identifikacijo. Preden se je pridružil The Blocku, je Mike sodeloval s Circle, Blocknative in različnimi protokoli DeFi na področju rasti in strategije.
Vir: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss