Εκμεταλλεύσιμο σφάλμα στη σύνδεση της γέφυρας Ethereum και Διαιτησία Το Nitro αποκαλύφθηκε από έναν ανώνυμο προγραμματιστή, αποφεύγοντας άλλο ένα μεγάλο hack κρυπτογράφησης στο οικοσύστημα κρυπτογράφησης.
Ο χάκερ του λευκού καπέλου, ο riptide, διεκδίκησε ένα μπόνους 400 ETH αποκαλύπτοντας ένα κρίσιμο σφάλμα στη λύση κλιμάκωσης του Ethereum Arbitrum που θα μπορούσε να είχε επιτρέψει σε οποιονδήποτε χάκερ να κλέψει όλες τις εισερχόμενες καταθέσεις μεταξύ της γέφυρας Layer1 και Layer2.
Αντί να εκμεταλλευτεί την παραβίαση, ο ηθικός χάκερ σημείωσε: «Το τρέχον ενδιαφέρον μου είναι στην αρένα των πολλαπλών αλυσίδων λόγω της πολυπλοκότητας που υπάρχει για τους προγραμματιστές αυτών των έργων και του σημαντικού ποσού των κεφαλαίων που κινδυνεύουν λόγω της τρέχουσας δομής «honeypot» του οι περισσότερες υλοποιήσεις γέφυρας».
Ο ηθικός χάκερ λευκού καπέλου εκτρέπει άλλο ένα εκμετάλλευση πολλών εκατομμυρίων δολαρίων
Ο Riptide σημείωσε σε μια ανάρτηση ιστολογίου ότι γνώριζε ότι το Arbitrum Nitro κυκλοφορούσε και αποφάσισε να παρακολουθεί την αναβάθμιση για να ελέγξει την επιτυχία της. Ωστόσο, μετά την εύρεση του ασφάλεια παραβίαση, ο ηθικός χάκερ σημείωσε ότι υπήρχε αρκετός χρόνος για να στοχεύσετε επιλεκτικά μεγάλες καταθέσεις ETH για να παραμείνουν απαρατήρητες για μεγαλύτερη περίοδο, να αφαιρέσετε κάθε κατάθεση που διέρχεται από τη γέφυρα ή απλώς να περιμένετε και να εκτελέσετε την επόμενη τεράστια κατάθεση ETH.
Το Delayed Inbox της αλυσίδας Arbitrum, το οποίο χρησιμοποιείται για την κατάθεση ETH ή διακριτικών μέσω μιας γέφυρας, χρησιμοποιεί μια λειτουργία αρχικοποίησης. Ο χάκερ των λευκών καπέλων σημείωσε ότι «μπορούμε να κλέβουμε όλες τις εισερχόμενες καταθέσεις ETH από χρήστες που προσπαθούν να γεφυρωθούν στο Arbitrum μέσω της συνάρτησης depozitEth().
Τα τρωτά σημεία στις γέφυρες κρυπτογράφησης είναι τα πιο αξιοποιήσιμα
Νωρίτερα τον Αύγουστο, κρυπτογέφυρα Nomad αξιοποιήθηκε για σχεδόν 200 εκατομμύρια δολάρια καθώς οι επιθέσεις σε γέφυρες είναι μια ολοένα και πιο κοινή τακτική για τους εγκληματίες. Πολλές επιθέσεις σημειώθηκαν μόνο φέτος, συμπεριλαμβανομένης της επίθεσης 600 εκατομμυρίων δολαρίων στη γέφυρα Ronin του Axie Infinity που επανακυκλοφόρησε.
Χάκερ σύμφωνα με πληροφορίες επιτραχήλιο σχεδόν 2 δισεκατομμύρια δολάρια από το Defi βιομηχανία κατά τους πρώτους έξι μήνες του τρέχοντος έτους, σύμφωνα με Αλυσίδα. Εν τω μεταξύ, εκτιμάται επίσης ότι εγκληματικές ομάδες της Βόρειας Κορέας ήδη πήρε 1 δισεκατομμύριο δολάρια σε κρυπτονομίσματα από Defi πρωτόκολλα μόνο το 2022.
Με αυτό, το περιστατικό ξεκίνησε επίσης μια συζήτηση σχετικά με τον αριθμό των επιδομάτων που παραδόθηκαν στους προγραμματιστές και στους χάκερ λευκών καπέλων για την αποκάλυψη αδυναμιών. Ένας προγραμματιστής του Optimism, ο οποίος χρησιμοποιεί τη λαβή Twitter 'smartcontracts.eth', υποστήριξε ότι δεδομένου του πιθανού αντίκτυπου του σφάλματος, θα μπορούσε να είχε δοθεί η μέγιστη ανταμοιβή, προσθέτοντας, "Το σφάλμα Arbitrum bridge είναι το κρίσιμο σφάλμα γέφυρας #3 που προκαλείται από κακούς αρχικοποιητές. σε περίπτωση που χρειαζόμασταν έναν άλλο λόγο για να απαλλαγούμε από αρχικοποιητές. Η Surprised Arbitrum πλήρωσε μόνο 400 ETH και όχι [το] μέγιστο μπόνους που δόθηκε».
Το ιστολόγιο τόνισε ότι η πιο σημαντική κατάθεση που καταγράφηκε στο συμβόλαιο εισερχομένων ήταν 168,000 ETH (κοντά στα 250 εκατομμύρια δολάρια), με τις συνολικές καταθέσεις σε 24 ώρες να κυμαίνονται από ~1000 έως ~5000 ETH, εκθέτοντας την έκταση μιας πιθανής έλξης ή πειρατείας.
Αποποίηση ευθυνών
Όλες οι πληροφορίες που περιέχονται στον ιστότοπό μας δημοσιεύονται με καλή πίστη και μόνο για σκοπούς γενικής πληροφόρησης. Οποιαδήποτε ενέργεια αναλαμβάνει ο αναγνώστης στις πληροφορίες που βρίσκονται στον ιστότοπό μας είναι αυστηρά με δική τους ευθύνη.
Πηγή: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/