Λεπτομέρειες προέκυψαν σήμερα το πρωί για μια ευπάθεια και επιβράβευση που κατέβαλε η Arbitrum. Το διορθωμένο exploit θα μπορούσε να έχει διακυβεύσει περισσότερα από 250 εκατομμύρια δολάρια.
Η ευπάθεια ανακαλύφθηκε από τον ψευδώνυμο solidity bounty hunter «0xriptide». Θα μπορούσε να έχει επηρεάσει οποιονδήποτε χρήστη που προσπάθησε να γεφυρώσει τα χρήματα από το Ethereum στο Arbitrum Nitro, είπε η 0xriptide.
Η Arbitrum έχει πληρώσει 0xriptide 400 ETH (περίπου 520,000 $) ως αποζημίωση για την ειδοποίηση της για την ευπάθεια.
0xriptide's Η καθημερινότητα αποτελείται από τον έλεγχο του ImmuneFi, μιας πλατφόρμας επιβράβευσης σφαλμάτων που έχει αποτρέψει εισβολές άνω των 20 δισεκατομμυρίων δολαρίων. Η κύρια εστίασή του τον τελευταίο καιρό έχει επικεντρωθεί στην πρόληψη των cross-chain exploits, καθώς θέτουν ένα αρκετά μεγαλύτερο ποσό κεφαλαίων σε κίνδυνο λόγω της δομής "honeypot" των περισσότερων πρωτοκόλλων γεφυρών, είπε στο η αναφορά.
Η αρχική του αναζήτηση για το Arbitrum exploit ξεκίνησε πριν από λίγες εβδομάδες πριν από την αναβάθμιση του Arbitrum Nitro. Κατά την αρχική του έρευνα, βρήκε μια ευπάθεια όπου η σύμβαση γεφύρωσης ήταν σε θέση να δέχεται καταθέσεις, παρόλο που η σύμβαση είχε αρχικοποιηθεί προηγουμένως.
0xriptide είπε,
«Όταν σκοντάφτεις an μη αρχικοποιημένη μεταβλητή διεύθυνσης στο Solidity — θα πρέπει πάντα να αφιερώνετε λίγο χρόνο για να κάνετε παύση και να διερευνήσετε περαιτέρω γιατί ποτέ δεν ξέρετε εάν αφέθηκε σκόπιμα χωρίς αρχικοποίηση ή κατά λάθος."
Η γέφυρα εκμεταλλεύονται
Αφού έψαξε στη μη αρχικοποιημένη διεύθυνση, το 0xriptide διαπίστωσε ότι ένας χάκερ θα μπορούσε να ορίσει τη δική του διεύθυνση ως γέφυρα, μιμούμενος το πραγματικό συμβόλαιο και να κλέψει όλες τις εισερχόμενες καταθέσεις ETH από το Etheruem στο Arbitrum Nitro.
Ο χάκερ θα είχε την ευελιξία είτε να στοχεύσει μεγαλύτερες καταθέσεις ETH για να κρύψει τις ενέργειές τους, είτε να ξεκινήσει μια επίθεση τύπου αντάρτικου και να αποσπάσει όλα τα κεφάλαια που εισέρχονται.
Η μεγαλύτερη κατάθεση κατά την περίοδο που θα μπορούσε να είχε συμβεί το exploit ήταν περίπου 168,000 ETH, ή 250 εκατομμύρια δολάρια. Οι μέσες καταθέσεις σε οποιαδήποτε χρονική περίοδο 24 ωρών κατά την οποία θα μπορούσε να είχε γίνει εκμετάλλευση της ευπάθειας ήταν από 1,000 έως 5,000 ETH.
© 2022 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
σχετικά με το Συγγραφέας
Ο Mike είναι ένας ρεπόρτερ που καλύπτει τα οικοσυστήματα blockchain, ο οποίος ειδικεύεται σε αποδείξεις μηδενικής γνώσης, ιδιωτικότητα και αυτοκυριαρχία ψηφιακής ταυτοποίησης. Πριν από την ένταξή του στο The Block, ο Mike συνεργάστηκε με τα πρωτόκολλα Circle, Blocknative και διάφορα DeFi για την ανάπτυξη και τη στρατηγική.
Πηγή: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss