Ett exploaterbart fel i broanslutningen Ethereum och Skiljedom Nitro avslöjades av en anonym utvecklare och undvek ett annat stort kryptohack i kryptoekosystemet.
White hat-hackeren, riptide, tog en belöning på 400 ETH genom att avslöja en kritisk bugg på Ethereums skalningslösning Arbitrum som kunde ha tillåtit vilken hackare som helst att stjäla alla inkommande insättningar mellan Layer1 och Layer2-bryggan.
Istället för att utnyttja intrånget, noterade den etiske hackern: "Mitt nuvarande intresse ligger inom den gränsöverskridande arenan på grund av komplexiteten som är involverad för utvecklarna av dessa projekt och den betydande mängd pengar som är i riskzonen på grund av den nuvarande "honeypot"-strukturen i de flesta bryggimplementeringar.”
Etisk white hat-hacker avleder ytterligare ett utnyttjande på flera miljoner dollar
Riptide noterade i ett blogginlägg att han visste att Arbitrum Nitro skulle lanseras och bestämde sig för att hålla ett öga på uppgraderingen för att kontrollera dess framgång. Men efter att ha hittat säkerhet intrång, noterade den etiska hackaren att det fanns tillräckligt med tid för att selektivt rikta in sig på stora ETH-insättningar för att förbli oupptäckta under en längre period, suga bort varje enskild insättning som passerar genom bron, eller helt enkelt vänta och köra nästa massiva ETH-insättning.
Arbitrum-kedjans Delayed Inbox, som används för att deponera ETH eller tokens via en brygga, använder en initialiseringsfunktion. White Hat-hackeren noterade att "vi kan kapa alla inkommande ETH-insättningar från användare som försöker brygga till Arbitrum via depositEth()-funktionen."
Sårbarheter på kryptobryggor är de mest utnyttjade
Tidigare i augusti kryptobro Nomad utnyttjades för nästan 200 miljoner dollar eftersom broattacker är en allt vanligare taktik för kriminella. Många attacker har inträffat bara i år, inklusive attacken på 600 miljoner dollar på den återlanserade Ronin-bron i Axie Infinity.
Hackare enligt uppgift stola nästan 2 miljarder dollar från Defi industri under de första sex månaderna i år, enligt Chainalysis. Samtidigt uppskattas det också nordkoreanska kriminella grupper tog redan 1 miljard dollar i kryptovaluta från Defi protokoll bara under 2022.
I och med det har incidenten också startat en debatt kring antalet belöningar som lämnats över till utvecklarna och hackare för white hat för att ha avslöjat svagheter. En Optimism-utvecklare, som använder Twitter-handtaget 'smartcontracts.eth', hävdade att med tanke på den potentiella inverkan av felet kunde den maximala belöningen ha getts, och tillade, "Arbitrum bridge bug är en kritisk bro bugg #3 orsakad av dåliga initialiserare, ifall vi behövde ytterligare en anledning att bli av med initialiserare. Surprised Arbitrum betalade bara 400 ETH och inte [den] maxbelöningen som gavs."
Bloggen betonade att den mest betydande insättningen som registrerades på inkorgskontraktet var 168,000 250 ETH (nära $24 miljoner), med totala insättningar inom 1000 timmar från ~5000 till ~XNUMX ETH, vilket avslöjar omfattningen av ett potentiellt mattdrag eller hack.
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/