Yksityiskohdat paljastettiin tänä aamuna Arbitrumin haavoittuvuudesta ja palkkiosta. Korjattu hyväksikäyttö olisi voinut vaarantaa yli 250 miljoonaa dollaria.
Haavoittuvuuden löysi pseudonyymi solidity palkkionmetsästäjä "0xriptide". Se olisi voinut vaikuttaa kaikkiin käyttäjiin, jotka yrittivät siirtää varoja Ethereumista Arbitrum Nitroon, 0xriptide sanoi.
Arbitrum on maksanut 0xriptide 400 ETH:n (noin 520,000 XNUMX dollaria) korvauksena haavoittuvuudesta ilmoittamisesta.
0xriptide Päivittäinen toiminta koostuu ImmuneFi:n, bugipalkkioalustan, pestämisestä, joka on estänyt yli 20 miljardin dollarin hakkeroinnit. Hänen pääpainonsa on viime aikoina keskittynyt ketjujen välisten hyväksikäyttöjen estämiseen, koska ne aiheuttavat huomattavasti suuremman riskin varoja useimpien siltaprotokollien "honeypot"-rakenteen vuoksi, hän sanoi. raportti.
Hänen ensimmäinen Arbitrum-hyödyntämisensä alkoi muutama viikko sitten ennen Arbitrum Nitro -päivitystä. Alkututkimuksessaan hän löysi haavoittuvuuden, jossa siltaussopimus pystyi vastaanottamaan talletuksia, vaikka sopimus oli alustettu aiemmin.
0xriptide sanoi,
"Kun törmäät an alustamaton osoitemuuttuja Solidityssä – kannattaa aina pysähtyä hetkeksi ja tutkia asiaa tarkemmin, koska koskaan ei tiedä, onko se jätetty tarkoituksella alustamatta vai vahingossa."
Silta hyödyntää
Kaivattuaan alustamattomaan osoitteeseen 0xriptide havaitsi, että hakkeri voisi asettaa oman osoitteensa sillaksi, jäljittelemällä todellista sopimusta, ja varastaa kaikki saapuvat ETH-talletukset Etheruemista Arbitrum Nitroon.
Hakkeri olisi voinut joko kohdistaa suurempiin ETH-talletuksiin hämärtääkseen toimintaansa tai aloittaa sissityyppisen hyökkäyksen ja ottaa kaikki sisään tulevat varat.
Suurin talletus ajanjaksolla, jolloin hyväksikäyttö olisi voinut tapahtua, oli noin 168,000 250 ETH eli 24 miljoonaa dollaria. Keskimääräiset talletukset millä tahansa 1,000 tunnin ajanjaksolla, jolloin haavoittuvuutta olisi voitu hyödyntää, olivat 5,000 XNUMX - XNUMX XNUMX ETH.
© 2022 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Author
Mike on blockchain-ekosysteemejä käsittelevä toimittaja, joka on erikoistunut nollatietotodisteisiin, yksityisyyteen ja itsenäiseen digitaaliseen tunnistamiseen. Ennen The Blockiin liittymistään Mike työskenteli Circlen, Blocknativen ja useiden DeFi-protokollien parissa kasvun ja strategian parissa.
Lähde: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss