Hyödynnettävä vika sillan yhdistämisessä Ethereum ja välimiesmenettely Nimetön kehittäjä paljasti Nitron välttäen toisen suuren kryptohakkeroinnin kryptoekosysteemissä.
Valkohattu-hakkeri, riptide, vaati 400 ETH:n palkkion paljastamalla kriittisen virheen Ethereumin skaalausratkaisussa Arbitrum, jonka avulla jokainen hakkeri olisi voinut varastaa kaikki Layer1- ja Layer2-sillan väliset talletukset.
Sen sijaan, että eettinen hakkeri olisi käyttänyt hyväkseen rikkomusta, hän huomautti: "Nykyinen kiinnostukseni on ketjujen välisellä areenalla, koska näiden hankkeiden kehittäjät ovat monimutkaisia ja nykyisen "hunajapotin" rakenteen vuoksi vaarassa on huomattava määrä varoja. useimmat siltatoteutukset."
Eettinen valkohattu-hakkeri torjuu toisen usean miljoonan dollarin hyväksikäytön
Riptide totesi blogikirjoituksessaan, että hän tiesi Arbitrum Nitron lanseeraavan ja päätti seurata päivitystä tarkistaakseen sen onnistumisen. Kuitenkin löydettyään turvallisuus eettinen hakkeri totesi, että oli riittävästi aikaa kohdentaa selektiivisesti suuria ETH-talletuksia, jotta ne pysyisivät havaitsemattomina pidempään, siivotaan jokainen sillan läpi kulkeva talletus tai yksinkertaisesti odotettiin ja suoritettaisiin seuraava massiivinen ETH-talletus.
Arbitrum-ketjun Delayed Inbox, jota käytetään ETH:n tai tokenien tallettamiseen sillan kautta, käyttää alustustoimintoa. Valkohattu-hakkeri huomautti, että "voimme kaapata kaikki saapuvat ETH-talletukset käyttäjiltä, jotka yrittävät muodostaa sillan Arbitrumiin depositEth()-toiminnon kautta."
Eniten hyödynnetään kryptosiltojen haavoittuvuuksia
Aiemmin elokuussa kryptosilta Nomad Sitä käytettiin hyväksi lähes 200 miljoonalla dollarilla, koska siltahyökkäykset ovat yhä yleisempi taktiikka rikollisille. Pelkästään tänä vuonna on tapahtunut lukuisia hyökkäyksiä, mukaan lukien 600 miljoonan dollarin hyökkäys Axie Infinityn uudelleen käynnistetylle Ronin-sillalle.
Hakkerit kuulemma varasti lähes 2 miljardia dollaria defi teollisuuden tämän vuoden kuuden ensimmäisen kuukauden aikana Chainalysis. Samalla on myös arvioitu, että Pohjois-Korean rikollisryhmät vei jo miljardi dollaria kryptovaluuttana defi pöytäkirjat pelkästään vuonna 2022.
Tämän myötä tapaus on myös käynnistänyt keskustelun kehittäjille ja valkohattuhakkereille heikkouksien paljastamisesta annettujen palkkioiden määrästä. Optimismi-kehittäjä, joka käyttää Twitterin kahvaa "smartcontracts.eth", väitti, että vian mahdollisen vaikutuksen vuoksi olisi voitu antaa maksimipalkkio, ja lisäsi: "Arbitrum-siltavirhe on kriittinen siltavirhe #3, jonka aiheuttavat huonot alustuslaitteet, jos tarvitsisimme toisen syyn päästä eroon alustuksista. Yllättynyt Arbitrum maksoi vain 400 ETH, eikä annettua enimmäispalkkiota."
Blogissa korostettiin, että merkittävin postilaatikkosopimukseen kirjattu talletus oli 168,000 250 ETH (lähes 24 miljoonaa dollaria), ja 1000 tunnin aikana tehtyjen talletusten kokonaismäärä vaihteli ~ 5000 XNUMX - XNUMX XNUMX ETH: sta, mikä paljastaa mahdollisen maton vetämisen tai hakkeroinnin laajuuden.
Vastuun kieltäminen
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja vain yleisiin tarkoituksiin. Kaikki toimet, jotka lukija toteuttaa verkkosivustollamme oleviin tietoihin, ovat ehdottomasti omalla vastuullaan.
Lähde: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/