Арбитрум најавува исплата на 400 ETH баунти за грешки

Утринава се појавија детали за ранливост и награда што ја плати Арбитрум. Закрпениот експлоат можеше да загрози повеќе од 250 милиони долари.

Ранливоста беше откриена од псевдонимниот ловец на награди „0xriptide“. Тоа би можело да влијае на секој корисник кој се обидел да ги премости средствата од Ethereum до Arbitrum Nitro, рече 0xriptide.

Arbitrum плати 0xriptide 400 ETH (околу 520,000 американски долари) како компензација за предупредување за ранливоста.

0xriptide's секој ден се состои од пребарување на ImmuneFi, платформа за баунти за грешки што спречи хакерство од повеќе од 20 милијарди долари. Неговиот примарен фокус во последно време е фокусиран на спречување на вкрстени експлоатации, бидејќи тие претставуваат значително поголема сума на средства во ризик поради структурата „honeypot“ на повеќето протоколи за мостови, рече тој во извештајот.

Неговата првична потрага по експлоатацијата на Arbitrum започна пред неколку недели пред надградбата на Arbitrum Nitro. По неговата првична истрага, тој откри ранливост каде што договорот за премостување можеше да прифати депозити, иако договорот беше иницијализиран претходно.

0xriptide рече,

„Кога ќе налетате на an променлива за неиницијализирана адреса во Solidity - секогаш треба да одвоите еден момент за да паузирате и да истражувате понатаму затоа што никогаш не знаете дали намерно била оставена неиницијализирана или случајно."

Мостот искористат 

По копање во неиницијализираната адреса, 0xriptide откри дека хакер ќе може да постави своја адреса како мост, имитирајќи го вистинскиот договор и да ги украде сите дојдовни депозити на ETH од Etheruem до Arbitrum Nitro.

Хакерот би имал флексибилност или да таргетира поголеми депозити на ЕТХ со цел да ги прикрие нивните дејствија, или да започне со герилски тип на напад и да ги искористи сите средства што доаѓаат.

Најголемиот депозит во периодот кога можеше да се случи експлоатацијата беше приближно 168,000 ETH, или 250 милиони долари. Просечните депозити во кој било временски период од 24 часа кога можеше да се искористи ранливоста беа некаде од 1,000 до 5,000 ETH.

© 2022 Блок Крипто, Inc. Сите права се задржани. Овој напис е даден само за информативни цели. Не се нуди или е наменет да се користи како легален, данок, инвестиции, финансиски или други совети.