En udnyttelig fejl i broforbindelsen Ethereum , Voldgift Nitro blev afsløret af en anonym udvikler, der undgik endnu et større kryptohack i kryptoøkosystemet.
White hat-hackeren, riptide, hævdede en dusør på 400 ETH ved at afsløre en kritisk fejl på Ethereum-skaleringsløsningen Arbitrum, der kunne have givet enhver hacker mulighed for at stjæle alle indgående indskud mellem Layer1 og Layer2-broen.
I stedet for at udnytte bruddet, bemærkede den etiske hacker: "Min nuværende interesse er inden for den tværkædede arena på grund af kompleksiteten involveret for udviklerne af disse projekter og den betydelige mængde midler, der er i fare på grund af den nuværende 'honeypot'-struktur af de fleste broimplementeringer."
Etisk white hat hacker omdirigerer endnu en udnyttelse på flere millioner dollars
Riptide bemærkede i et blogindlæg, at han vidste, at Arbitrum Nitro lancerede og besluttede at holde øje med opgraderingen for at kontrollere dens succes. Men efter at have fundet sikkerhed brud, bemærkede den etiske hacker, at der var tid nok til selektivt at målrette mod store ETH-aflejringer til at forblive uopdagede i en længere periode, fjerne hver enkelt indbetaling, der passerer gennem broen, eller blot vente og køre den næste massive ETH-deponering.
Arbitrum-kædens Delayed Inbox, som bruges til at deponere ETH eller tokens via en bro, bruger en initialiseringsfunktion. White hat-hackeren bemærkede, at "vi kan kapere alle indgående ETH-indskud fra brugere, der forsøger at bygge bro til Arbitrum via depositEth()-funktionen."
Sårbarheder på kryptobroer er de mest udnyttede
Tidligere i august, kryptobro Nomad blev udnyttet for næsten 200 millioner dollars, da broangreb er en stadig mere almindelig taktik for kriminelle. Adskillige angreb har fundet sted alene i år, inklusive angrebet på $600 millioner på den relancerede Ronin-bro i Axie Infinity.
Hackere angiveligt Stole næsten 2 milliarder dollars fra Defi industri i løbet af de første seks måneder af i år, iflg Chainalysis. I mellemtiden vurderes det også nordkoreanske kriminelle grupper allerede tog $1 milliard i kryptovaluta fra Defi protokoller alene i 2022.
Dermed har hændelsen også startet en debat omkring antallet af dusører, der er givet til udviklerne og white hat-hackere for at afsløre svagheder. En Optimism-udvikler, der bruger Twitter-håndtaget 'smartcontracts.eth', hævdede, at givet den potentielle virkning af fejlen, kunne den maksimale belønning have været givet, og tilføjede: "Arbitrum-brofejl er kritisk brofejl #3 forårsaget af dårlige initialiseringer, i tilfælde af at vi havde brug for en anden grund til at slippe af med initialiseringsprogrammer. Overrasket Arbitrum betalte kun 400 ETH og ikke [den] maksimale dusør, der blev givet."
Bloggen fremhævede, at den mest betydningsfulde indbetaling registreret på indbakkekontrakten var 168,000 ETH (tæt på $250 millioner), med samlede indbetalinger på 24 timer fra ~1000 til ~5000 ETH, hvilket afslører omfanget af et potentielt tæppetræk eller hack.
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/