Napaka, ki jo je mogoče izkoristiti v povezovanju mostu Ethereum in arbitražo Nitro je razkril anonimni razvijalec, s čimer se je izognil še enemu večjemu kripto vdoru v kripto ekosistem.
Heker z belim klobukom, riptide, je zahteval nagrado v višini 400 ETH z razkritjem kritične napake v rešitvi za skaliranje Ethereum Arbitrum, ki bi lahko kateremu koli hekerju omogočila krajo vseh dohodnih depozitov med mostom Layer1 in Layer2.
Namesto da bi izkoristil kršitev, je etični heker opozoril: »Moje trenutno zanimanje je znotraj medverižne arene zaradi zapletenosti, ki je vključena za razvijalce teh projektov, in znatne količine sredstev, ki so ogrožena zaradi trenutne strukture 'honeypot' večina implementacij mostov.«
Etični heker z belim klobukom preusmeri še en več milijonov dolarjev vreden podvig
Riptide je v objavi na spletnem dnevniku zapisal, da je vedel, da se Arbitrum Nitro lansira, in se odločil, da bo spremljal nadgradnjo, da bi preveril njen uspeh. Vendar po ugotovitvi varnost kršitev, je etični heker ugotovil, da je bilo dovolj časa za selektivno ciljanje na velike depozite ETH, da ostanejo neodkriti dlje časa, izčrpajo vsak posamezen depozit, ki gre skozi most, ali preprosto počakajo in predvidijo naslednji ogromen depozit ETH.
Delayed Inbox verige Arbitrum, ki se uporablja za polaganje ETH ali žetonov prek mostu, uporablja funkcijo inicializatorja. Heker z belim klobukom je opozoril, da "lahko ugrabimo vse dohodne depozite ETH od uporabnikov, ki poskušajo premostiti Arbitrum prek funkcije depositEth()."
Najbolj se izkoriščajo ranljivosti na kriptomostovih
Prej avgusta, kripto most Nomad je bil izkoriščen za skoraj 200 milijonov dolarjev, saj so napadi na mostove vse pogostejša taktika kriminalcev. Samo letos so se zgodili številni napadi, vključno z napadom v vrednosti 600 milijonov dolarjev na ponovno zagnani most Ronin v Axie Infinity.
Hekerji domnevno ukradel skoraj 2 milijardi dolarjev od Defi industriji v prvih šestih mesecih letos, po Haainaliza. Medtem se tudi ocenjuje, da Severnokorejske kriminalne združbe že vzel milijardo dolarjev v kriptovaluti Defi protokolov samo v letu 2022.
S tem je incident sprožil tudi razpravo o številu nagrad, podeljenih razvijalcem in belim hekerjem za razkrivanje slabosti. Razvijalec Optimism, ki uporablja twitterjev ročaj 'smartcontracts.eth', je trdil, da bi glede na potencialni vpliv napake lahko prejeli največjo nagrado, in dodal: »Arbitrum bridge bug je kritična premostitvena napaka št. 3, ki jo povzročajo slabi inicializatorji, če bi potrebovali še en razlog, da se znebimo inicializatorjev. Presenečeni Arbitrum je plačal samo 400 ETH in ne [najvišje] podeljene nagrade.”
Blog je poudaril, da je bil najpomembnejši depozit, zabeležen v pogodbi o prejetih sporočilih, 168,000 ETH (skoraj 250 milijonov $), pri čemer so skupni depoziti v 24 urah znašali od ~1000 do ~5000 ETH, kar razkriva obseg morebitnega vlečenja ali vdora.
Zavrnitev odgovornosti
Vse informacije na našem spletnem mestu so objavljene v dobri veri in zgolj za splošne informacije. Vsako dejanje, ki ga bralec izvede na podlagi informacij na naši spletni strani, je izključno na lastno odgovornost.
Vir: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/