Tilta savienojuma ekspluatējama kļūme Ethereum un šķīrējtiesa Nitro atklāja anonīms izstrādātājs, izvairoties no vēl viena liela kriptovalūtu uzlaušanas kripto ekosistēmā.
Balto cepuru hakeris riptide pieprasīja 400 ETH, atklājot kritisku kļūdu Ethereum mērogošanas risinājumā Arbitrum, kas varēja ļaut jebkuram hakeram nozagt visus ienākošos noguldījumus starp Layer1 un Layer2 tiltu.
Tā vietā, lai izmantotu pārkāpumu, ētiskais hakeris atzīmēja: "Mana pašreizējā interese ir vairāku ķēžu arēnā, jo šo projektu izstrādātāji ir sarežģīti un ir apdraudēts ievērojamais līdzekļu apjoms pašreizējās "medus poda" struktūras dēļ. lielākā daļa tiltu ieviešanas.
Ētiskais balto cepuru hakeris novirza vēl vienu vairāku miljonu dolāru izmantošanu
Riptide emuāra ziņā atzīmēja, ka zināja, ka Arbitrum Nitro tiek palaists, un nolēma sekot līdzi jauninājumam, lai pārbaudītu tā panākumus. Tomēr pēc atrašanas drošība Pārkāpuma gadījumā ētiskais hakeris atzīmēja, ka bija pietiekami daudz laika, lai selektīvi mērķētu uz lieliem ETH nogulsnēm, lai tie ilgāk paliktu neatklāti, izsūknētu katru noguldījumu, kas iet caur tiltu, vai vienkārši nogaidītu un sāktu nākamo masveida ETH noguldījumu.
Arbitrum ķēdes aizkavētā iesūtne, kas tiek izmantota ETH vai marķieru noguldīšanai caur tiltu, izmanto inicializācijas funkciju. Baltās cepures hakeris atzīmēja, ka "mēs varam nolaupīt visus ienākošos ETH noguldījumus no lietotājiem, kuri mēģina izveidot tiltu ar Arbitrum, izmantojot funkciju depositEth ()".
Visvairāk tiek izmantotas kriptogrāfijas tiltu ievainojamības
Agrāk augustā, kripto tilts Nomad tika izmantots par gandrīz 200 miljoniem ASV dolāru, jo tiltu uzbrukumi ir arvien izplatītāka noziedznieku taktika. Šogad vien ir notikuši daudzi uzbrukumi, tostarp 600 miljonu dolāru vērtais uzbrukums Axie Infinity atsāktajam Roninas tiltam.
Tiek ziņots, ka hakeri nozaga gandrīz 2 miljardus dolāru no DEFI nozare šā gada pirmajos sešos mēnešos, liecina Ķēdes analīze. Tikmēr tiek lēsts, ka Ziemeļkorejas noziedzīgie grupējumi jau paņēma 1 miljardu dolāru kriptovalūtā no DEFI protokoli vien 2022. gadā.
Līdz ar to incidents ir sācis arī diskusijas par to, cik prēmiju ir nodotas izstrādātājiem un balto cepuru hakeriem par vājo vietu atklāšanu. Optimism izstrādātājs, kurš izmanto Twitter rokturi “smartcontracts.eth”, apgalvoja, ka, ņemot vērā kļūdas iespējamo ietekmi, varēja tikt piešķirta maksimālā atlīdzība, piebilstot: “Arbitrum tilta kļūda ir kritiska tilta kļūda Nr. 3, ko izraisa slikti inicializatori. ja mums ir nepieciešams cits iemesls, lai atbrīvotos no inicializētājiem. Pārsteigtais Arbitrum maksāja tikai 400 ETH, nevis maksimālo piešķirto balvu.
Emuārā tika uzsvērts, ka nozīmīgākais depozīts, kas reģistrēts iesūtnes līgumā, bija 168,000 250 ETH (gandrīz 24 miljoniem ASV dolāru), un kopējais noguldījumu apjoms 1000 stundu laikā svārstās no ~ 5000 līdz ~ XNUMX ETH, atklājot iespējamās paklāja vilkšanas vai uzlauzšanas apjomu.
Atbildības noraidīšana
Visa mūsu vietnē esošā informācija tiek publicēta godprātīgi un tikai vispārējas informācijas nolūkos. Jebkura darbība, ko lasītājs veic, izmantojot mūsu vietnē atrodamo informāciju, ir stingri atkarīgs no viņa paša.
Avots: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/