Detaljer dukkede op her til morgen om en sårbarhed og dusør betalt af Arbitrum. Den lappede udnyttelse kunne have kompromitteret mere end $250 millioner.
Sårbarheden blev opdaget af den pseudonyme solidity dusørjæger "0xriptide." Det kunne have påvirket enhver bruger, der forsøgte at bygge bro mellem midler fra Ethereum til Arbitrum Nitro, sagde 0xriptide.
Arbitrum har betalt 0xriptide 400 ETH (ca. $520,000) som kompensation for at gøre det opmærksom på sårbarheden.
0xriptides dag-til-dag består af skuring af ImmuneFi, en bug bounty-platform, der har forhindret hacks på mere end $20 milliarder. Hans primære fokus på det seneste har været centreret om at forhindre cross-chain exploits, da de udgør en betydelig større mængde midler i fare på grund af "honeypot"-strukturen i de fleste broprotokoller, sagde han i rapporten.
Hans første søgen efter Arbitrum-udnyttelsen begyndte for et par uger siden forud for Arbitrum Nitro-opgraderingen. Ved sin indledende undersøgelse fandt han en sårbarhed, hvor brokontrakten var i stand til at acceptere indskud, selvom kontrakten blev initialiseret tidligere.
0xriptide sagde,
"Når du falder over an uinitialiseret adressevariabel i Solidity - du bør altid tage et øjeblik på at holde pause og undersøge nærmere, fordi du aldrig ved, om den bevidst blev efterladt uinitialiseret eller ved et uheld."
Broen udnytte
Efter at have gravet i den ikke-initialiserede adresse, fandt 0xriptide ud af, at en hacker ville være i stand til at indstille deres egen adresse som broen, efterligne den faktiske kontrakt, og stjæle alle de indgående ETH-indskud fra Etheruem til Arbitrum Nitro.
Hackeren ville have haft fleksibiliteten til enten at målrette større ETH-indskud for at sløre deres handlinger eller påbegynde et guerilla-angreb og suge alle midlerne ind.
Det største indskud i den periode, hvor udnyttelsen kunne have fundet sted, var omkring 168,000 ETH, eller 250 millioner dollars. De gennemsnitlige indskud i en 24-timers periode, hvor sårbarheden kunne have været udnyttet, var alt fra 1,000 til 5,000 ETH.
© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Om forfatteren
Mike er en reporter, der dækker blockchain-økosystemer, som har specialiseret sig i nul-viden beviser, privatliv og selv-suveræn digital identifikation. Før han kom til The Block, arbejdede Mike med Circle, Blocknative og forskellige DeFi-protokoller om vækst og strategi.
Kilde: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss