En utnyttbar feil i broforbindelsen Ethereum og Voldgift Nitro ble avslørt av en anonym utvikler, og unngikk et annet stort kryptohack i kryptoøkosystemet.
White hat-hackeren, riptide, krevde en dusør på 400 ETH ved å avsløre en kritisk feil på Ethereum-skaleringsløsningen Arbitrum som kunne ha tillatt enhver hacker å stjele alle innkommende innskudd mellom Layer1 og Layer2-broen.
I stedet for å utnytte bruddet, bemerket den etiske hackeren, "Min nåværende interesse er innenfor tverrkjedearenaen på grunn av kompleksiteten involvert for utviklerne av disse prosjektene og den betydelige mengden midler som er i fare på grunn av den nåværende "honeypot"-strukturen til de fleste broimplementeringer.»
Etisk white hat hacker avleder en annen utnyttelse på flere millioner dollar
Riptide bemerket i et blogginnlegg at han visste at Arbitrum Nitro ble lansert og bestemte seg for å holde øye med oppgraderingen for å sjekke suksessen. Men etter å ha funnet sikkerhet brudd, bemerket den etiske hackeren at det var nok tid til å selektivt målrette mot store ETH-forekomster til å forbli uoppdaget i en lengre periode, sifon av hvert eneste innskudd som passerer gjennom broen, eller bare vente og kjøre den neste massive ETH-forekomsten.
Arbitrum-kjedens Delayed Inbox, som brukes til å deponere ETH eller tokens via en bro, bruker en initialiseringsfunksjon. White Hat-hackeren bemerket at "vi kan kapre alle innkommende ETH-innskudd fra brukere som prøver å bygge bro til Arbitrum via depositEth()-funksjonen."
Sårbarheter på kryptobroer er de mest utnyttede
Tidligere i august, kryptobro Nomad ble utnyttet for nesten 200 millioner dollar ettersom broangrep er en stadig mer vanlig taktikk for kriminelle. Tallrike angrep har skjedd bare i år, inkludert angrepet på 600 millioner dollar på den relanserte Ronin-broen til Axie Infinity.
Hackere angivelig stjal nesten 2 milliarder dollar fra Defi industri i løpet av de første seks månedene i år, ifølge Chainalysis. I mellomtiden er det også anslått at Nordkoreanske kriminelle grupper allerede tok 1 milliard dollar i kryptovaluta fra Defi protokoller i 2022 alene.
Med det har hendelsen også startet en debatt rundt antall dusører som er overlevert til utviklerne og white hat-hackere for å avsløre svakheter. En Optimism-utvikler, som bruker Twitter-håndtaket 'smartcontracts.eth', hevdet at gitt den potensielle virkningen av feilen, kunne maksimal belønning blitt gitt, og la til: "Arbitrum-brofeil er kritisk brofeil #3 forårsaket av dårlige initialiseringer, i tilfelle vi trengte en annen grunn til å bli kvitt initialisatorer. Overrasket Arbitrum betalte bare 400 ETH og ikke [den] maksimale dusøren som ble gitt."
Bloggen fremhevet at det viktigste innskuddet som ble registrert på innbokskontrakten var 168,000 250 ETH (nær 24 millioner dollar), med totale innskudd på 1000 timer fra ~5000 til ~XNUMX ETH, noe som avslører omfanget av et potensielt rugtrekk eller hack.
Ansvarsfraskrivelse
All informasjonen på nettstedet vårt er kun publisert i god tro og kun for generell informasjon. Enhver handling som leseren tar på informasjonen som finnes på nettstedet vårt, er strengt på egen risiko.
Kilde: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/