Detaljer dukket opp i morges om en sårbarhet og dusør betalt av Arbitrum. Den lappede utnyttelsen kunne ha kompromittert mer enn 250 millioner dollar.
Sårbarheten ble oppdaget av den pseudonyme solidity dusørjegeren "0xriptide." Det kunne ha påvirket enhver bruker som forsøkte å bygge bro mellom Ethereum og Arbitrum Nitro, sa 0xriptide.
Arbitrum har betalt 0xriptide 400 ETH (omtrent $520,000 XNUMX) som kompensasjon for å varsle den om sårbarheten.
0xriptides dag-til-dag består av skuring av ImmuneFi, en bug bounty-plattform som har forhindret hacks på mer enn 20 milliarder dollar. Hans primære fokus i det siste har vært sentrert på å forhindre kjedeutnyttelser, ettersom de utgjør en betydelig større mengde midler i fare på grunn av "honeypot"-strukturen til de fleste broprotokoller, sa han i rapporten.
Hans første søk etter Arbitrum-utnyttelsen begynte for noen uker siden i forkant av Arbitrum Nitro-oppgraderingen. Ved sin første undersøkelse fant han en sårbarhet der brokontrakten var i stand til å akseptere innskudd, selv om kontrakten ble initialisert tidligere.
0xriptide sa,
«Når du snubler over an uinitialisert adressevariabel i Solidity - du bør alltid ta deg tid til å ta en pause og undersøke videre fordi du aldri vet om den ble stående uinitialisert med hensikt eller ved et uhell."
Broen utnytte
Etter å ha gravd i den uinitialiserte adressen, fant 0xriptide ut at en hacker ville være i stand til å angi sin egen adresse som broen, etterligne den faktiske kontrakten, og stjele alle innkommende ETH-innskudd fra Etheruem til Arbitrum Nitro.
Hackeren ville ha hatt fleksibiliteten til å enten sikte mot større ETH-innskudd for å skjule handlingene deres, eller starte et gerilja-angrep og suge inn alle midlene som kommer inn.
Det største innskuddet i perioden da utnyttelsen kunne ha skjedd var omtrent 168,000 250 ETH, eller 24 millioner dollar. Gjennomsnittlig innskudd i en 1,000-timers periode når sårbarheten kunne ha blitt utnyttet var alt fra 5,000 til XNUMX ETH.
© 2022 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
om forfatteren
Mike er en reporter som dekker blockchain-økosystemer, som spesialiserer seg på nullkunnskapsbevis, personvern og selvoverveldende digital identifikasjon. Før han begynte i The Block, jobbet Mike med Circle, Blocknative og forskjellige DeFi-protokoller om vekst og strategi.
Kilde: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss