Експлоатирачка грешка во поврзувањето на мостот Ethereum Арбитрам Нитро беше откриен од анонимен развивач, избегнувајќи уште еден голем крипто хакирање во крипто екосистемот.
Хакерот со бела капа, riptide, побара награда од 400 ETH откривајќи критична грешка на решението за скалирање Ethereum Arbitrum што можеше да му дозволи на секој хакер да ги украде сите дојдовни депозити помеѓу мостот Layer1 и Layer2.
Наместо да го искористи прекршувањето, етичкиот хакер забележа: „Мојот моментален интерес е во арената меѓу синџирите поради сложеноста вклучена за развивачите на овие проекти и значителната сума на средства во ризик поради тековната структура на „honeypot“ на повеќето имплементации на мостови“.
Етички хакер со бела капа пренасочува уште една експлоатација од повеќе милиони долари
Риптајд забележа во блог пост дека знаел дека Arbitrum Nitro се лансира и одлучил да внимава на надградбата за да го провери нејзиниот успех. Меѓутоа, по пронаоѓањето на безбедност прекршување, етичкиот хакер забележа дека има доволно време за селективно да се насочат големите депозити на ЕТХ за да останат неоткриени подолг период, да се исфрли секој поединечен депозит што минува низ мостот или едноставно да се чека и да се стартува следниот масивен ЕТХ депозит.
Одложеното дојдовно сандаче на синџирот Arbitrum, кое се користи за депонирање на ETH или токени преку мост, користи функција за иницијализатор. Хакерот на белата капа забележа дека „можеме да ги киднапираме сите дојдовни депозити на ETH од корисници кои се обидуваат да се премостат до Arbitrum преку функцијата depositEth().
Најмногу се експлоатираат ранливостите на крипто мостовите
Претходно во август, крипто мост Номад беше искористен за речиси 200 милиони долари бидејќи нападите на мостови се сè почеста тактика за криминалците. Само оваа година се случија бројни напади, вклучувајќи го и нападот од 600 милиони долари на повторно пуштениот мост Ронин на Акси Бесконечност.
Наводно хакери украле речиси 2 милијарди долари од на определен обем, индустријата во текот на првите шест месеци од оваа година, според Хинализа. Во меѓувреме, се проценува и дека Севернокорејски криминални групи веќе зеде 1 милијарда долари во криптовалута од на определен обем, протоколи само во 2022 година.
Со тоа, инцидентот започна и дебата за бројот на награди што им се предадени на програмерите и хакерите со бела капа за откривање на слабостите. Развивач на Optimism, кој ја користи рачката на Твитер „smartcontracts.eth“, тврди дека со оглед на потенцијалното влијание на дефектот, максималната награда можела да се даде, додавајќи: „Башката на мостот Arbitrum е критична грешка на мостот број 3 предизвикана од лоши иницијализатори. во случај да ни треба друга причина да се ослободиме од иницијализаторите. Изненадениот Арбитрум плати само 400 ЕТХ, а не [максималната] дадена награда“.
Блогот истакна дека најзначајниот депозит снимен на договорот за влезно сандаче бил 168,000 ЕТХ (близу 250 милиони американски долари), со вкупни депозити за 24 часа кои се движат од ~ 1000 до ~ 5000 ЕТХ, што го изложува степенот на потенцијално влечење или хакирање на килим.
Општи услови
Сите информации содржани на нашата веб-страница се објавени со добра волја и само за општи информации. Секоја акција што читателот ја презема врз информациите што се наоѓаат на нашата веб-страница е строго на нивна опасност.
Извор: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/