Greška koja se može iskoristiti u povezivanju mosta Ethereum i arbitraža Nitro je otkrio anonimni programer, izbjegavajući još jedan veliki kripto hak u kripto ekosistemu.
Bijeli haker, riptide, zatražio je nagradu od 400 ETH otkrivajući kritičnu grešku na Ethereum skalirajućem rješenju Arbitrum koja je mogla dozvoliti bilo kojem hakeru da ukrade sve dolazne depozite između Layer1 i Layer2 mosta.
Umjesto da iskoristi kršenje, etički haker je primijetio: „Moje trenutno zanimanje je unutar arene unakrsnih lanaca zbog složenosti uključene za programere ovih projekata i značajnog iznosa sredstava pod rizikom zbog trenutne strukture 'honeypot' većina implementacija mostova.”
Etički haker s bijelim šeširima skreće još jedan podvig vrijedan više miliona dolara
Riptide je u blog postu naveo da je znao da se Arbitrum Nitro pokreće i odlučio je da pripazi na nadogradnju kako bi provjerio njen uspjeh. Međutim, nakon pronalaska bezbjednost etički haker je primetio da je bilo dovoljno vremena da se selektivno cilja velike ETH depozite kako bi ostali neotkriveni duži period, isisali svaki pojedinačni depozit koji prođe kroz most, ili jednostavno sačekati i unapred pokrenuti sledeći masivni ETH depozit.
Delayed Inbox lanca Arbitrum, koji se koristi za deponovanje ETH ili tokena preko mosta, koristi funkciju inicijalizatora. Haker bijelih šešira je primijetio da “možemo oteti sve dolazne ETH depozite od korisnika koji pokušavaju premostiti na Arbitrum putem funkcije depositEth()”.
Ranjivosti na kripto mostovima se najviše iskorištavaju
Ranije u avgustu, kripto most Nomad je eksploatisan za skoro 200 miliona dolara jer su napadi na mostove sve češća taktika za kriminalce. Brojni napadi dogodili su se samo ove godine, uključujući napad od 600 miliona dolara na ponovo pokrenuti Ronin most Axie Infinityja.
Hakeri navodno ukrao skoro 2 milijarde dolara od Defi industrije tokom prvih šest mjeseci ove godine, prema Chainalysis. U međuvremenu, procjenjuje se i da Severnokorejske kriminalne grupe već uzeo milijardu dolara u kriptovaluti od Defi protokola samo u 2022.
Uz to, incident je pokrenuo i debatu oko broja nagrada koje su predate programerima i hakerima za razotkrivanje slabosti. Razvojni programer Optimism, koji koristi Twitter ručicu 'smartcontracts.eth', tvrdio je da se s obzirom na potencijalni utjecaj greške mogla dati maksimalna nagrada, dodajući: “Arbitrum bridge bug je kritična greška mosta br. 3 uzrokovana lošim inicijalizatorima, u slučaju da nam treba još jedan razlog da se riješimo inicijalizatora. Iznenađeni Arbitrum je platio samo 400 ETH, a ne maksimalnu datu nagradu.”
Na blogu je istaknuto da je najznačajniji depozit zabilježen u inbox ugovoru bio 168,000 ETH (blizu 250 miliona dolara), s ukupnim depozitima u 24 sata u rasponu od ~1000 do ~5000 ETH, otkrivajući stepen potencijalnog povlačenja ili hakovanja tepiha.
odricanje
Sve informacije sadržane na našoj web stranici objavljene su u dobroj namjeri i samo u opće informativne svrhe. Svaka radnja koju čitatelj poduzme na informacijama koje se nalaze na našoj web stranici strogo je na vlastiti rizik.
Izvor: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/